Derecho y NBIC

El Derecho de NBIC es una materia transversal, relacionada con tecnologías convergentes (Nanotecnologías, Biotecnologías, Tecnologías de la Información y ciencias Cognitivas). Enfatizan la creciente interconexión entre lo infinitamente pequeño (N), la creación de seres vivos (B), las máquinas pensantes (I) y el estudio del cerebro humano (C). Inciden en la ciencia y el derecho, tornando complejo establecer sus límites, desafíos y consecuencias económicas, político- sociales y éticas.

viernes, 4 de abril de 2025

DERECHO DE SUPRESION: INVESTIGACIONES Y CONTROLES EN 2025 - CNIL Y AUTORIDADES EUROPEAS HOMOLOGAS.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@hotmail.com

RESUMEN

Después del derecho de acceso en 2024, el derecho a la supresión ha sido elegido por la CNIL y sus homólogos europeos como tema de investigación a nivel europeo para el año 2025.

El derecho de supresión en el Perú se manifiesta en el Art. 2 Definiciones, de la Ley N° 29733, en las nociones de Tratamiento: 19. Tratamiento de datos personales; Artículo 20. Derecho de actualización, inclusión, rectificación y supresión; Artículo 22. Derecho de oposición. "En caso de oposición justificada, el titular o el encargado de tratamiento de datos personales, según corresponda, debe proceder a su supresión, conforme a ley”; Artículo 27. Limitaciones (a los derechos) "por razones fundadas en la protección de derechos e intereses de terceros o cuando ello pueda obstaculizar actuaciones judiciales o administrativas,…"

Y en el nuevo Reglamento, el concepto de supresión se asocia a las nociones de Bloqueo y Cancelación. Esta última es considerada equivalente a supresión. Sin embargo, conforme al tercer párrafo del Artículo 20 de la Ley:

"Dicho bloqueo no es aplicable a las entidades públicas que requieren de tal información para el adecuado ejercicio de sus competencias, según ley, las que deben informar que se encuentra en trámite cualquiera de los mencionados procesos".

2. Bloqueo: "Es la medida que consiste en la identificación y reserva de los datos personales adoptando medidas técnicas y organizativas para impedir su tratamiento, incluyendo su visualización, durante el periodo en que se esté procesando alguna solicitud de actualización, inclusión, rectificación o supresión, en concordancia con lo que dispone el tercer párrafo del artículo 20 de la Ley".

3. "Cancelación: Es la acción o medida que en la Ley se describe como supresión, cuando se refiere a datos personales, que consiste en eliminar o suprimir los datos".

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com

______________________________________________________________

Derecho de supresión: la CNIL y sus homólogos europeos realizan una serie de controles

17 de marzo de 2025

Después del derecho de acceso en 2024, el derecho a la supresión ha sido elegido por la CNIL y sus homólogos europeos como tema de investigación a nivel europeo para el año 2025.ño de la fuen

Por cuarto año consecutivo, la CNIL y varios de sus homólogos europeos participan a una acción coordinada ( marco de aplicación coordinada ) del Comité Europeo de Protección de Datos (CEPD) .

Luego de realizar investigaciones sobre la nube en 2022, la designación y la función de los delegados de protección de datos (DPD) en 2023 y el respeto del derecho de acceso en 2024, la CNIL procederá a realizar controles en 2025 sobre el respeto al derecho de supresión.

El derecho de supresión es uno de los derechos más frecuentemente ejercidos y ha sido objeto de una proporción muy significativa de reclamaciones recibidas por la CNIL (37% en 2024) y, más ampliamente, por sus homólogos europeos.

El ejercicio de este derecho permite a una persona solicitar a un organismo la eliminación de sus datos personales en las condiciones previstas en el artículo 17 del RGPD. El constituye un medio para que los interesados controlen sus datos.

Como recordatorio, los responsables del tratamiento de datos están obligados a responder a las solicitudes de derecho de supresión de las personas físicas (artículos 12 y 17 del RGPD).

Los controles de la CNIL tendrán como objetivo verificar la manera de cómo se ejerce el derecho de supresión por parte de los organismos, algunos de los cuales son objeto de una denuncia recibida ante la CNIL.

Los resultados de estas investigaciones se compartirán con los homólogos europeos de la CNIL. La CNIL podrá entonces decidir enseguida, de manera autónoma las medidas que deben adoptarse, adoptando medidas correctivas, por ejemplo, requerimientos o sanciones, si se detectan infracciones. El SEPD publicará un informe sobre los resultados de esta campaña una vez finalizadas las acciones.

Texto de referencia

Para profundizar

· El derecho a la supresión

· Webmasters o administradores de sitios: cómo responder a las solicitudes de eliminación de datos

· CEF 2025: Lanzamiento de una implementación coordinada del derecho a la supresión - CEPD

Texto de referencia

Texto de referencia

· Artículo 17 del Reglamento General de Protección de Datos (RGPD) – Derecho de supresión

· #Controles #CEPD #Derecho a la supresión

¿TITULARES, ENCARGADOS DE BANCO DE DATOS Y RESPONSABLES DE TRATAMIENTO DE DATOS PERSONALES SON LO MISMO?

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@hotmail.com

Una de las exigencias del lenguaje científico es la univocidad del lenguaje a fin de evitar la polisemia que empleamos en el lenguaje natural, en el habla corriente. Por ello nos interrogamos sobre las derivas vinculadas a voces aparentemente sinónimas o equivalentes Titulares, Encargados de Banco de Datos y Responsables de Tratamiento de Datos.

La Ley de Protección de Datos Personales y su Nuevo Reglamento, presentan un caso de figura interesante respecto de la afirmación anterior, sobre la precisión exigible a los legisladores, acerca de los conceptos de Titular del banco de datos personales, Encargado del banco de datos personales y Responsable de Tratamiento.

La Ley de Protección de datos en el Perú es bastante precisa respecto a dos figuras que asumen la responsabilidad, en general, del tratamiento de los datos personales: el Titular del Banco de Datos Personales y el Encargado del Banco de datos Personales.

Ley N° 29733. Art.2, Incs. 15 y 6:

15. Titular del banco de datos personales. Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad.

6. Encargado del banco de datos personales. Toda persona natural, persona jurídica de derecho privado o entidad pública que sola o actuando conjuntamente con otra realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales.

El articulo L. Art.2, Inc.17, precisa las acciones – tratamiento – a las cuales se relacionan:

17. Tratamiento de datos personales. Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.

No obstante, el Nuevo Reglamento de la Ley N° 29733, aprobado por el D.S. 016-2024-JUS añade un nuevo sujeto: el Responsable del tratamiento de datos, que amplía las funciones ligadas al banco de datos.

El Artículo III Definiciones, inciso 13. Evaluación de impacto, equipara al titular del banco de datos al de responsable del tratamiento:

13. Evaluación de impacto relativo a la protección de datos personales: Es el mecanismo de responsabilidad proactiva que consiste en que el titular del banco de datos personales o responsable del tratamiento de datos realice, de forma previa al tratamiento de los mismos, un análisis o evaluación del impacto o riesgos que implica el tratamiento de esos datos.

En el mismo Artículo III Definiciones, inciso 22. Amplía el término de responsable de tratamiento: a cualquier persona que decida sobre el tratamiento de datos personales, aun cuando no se encuentre en un banco de datos.

22. Responsable del tratamiento: Es la persona natural, persona jurídica de derecho privado o entidad pública que decide sobre la finalidad y medios del tratamiento de datos personales. Esta definición no se restringe al titular del banco de datos, sino que incluye a cualquier persona que decida sobre el tratamiento de datos personales, aun cuando no se encuentre en un banco de datos personales. Esta definición (Responsable del tratamiento) no se restringe al titular del banco de datos, sino que incluye a cualquier persona que decida sobre el tratamiento de datos personales, aun cuando no se encuentre en un banco de datos personales. (Las negritas son nuestras)

Similares funciones le atribuye el Artículo 6 Consentimiento Informado, inciso 6.1. cuanto a la identidad del titular del banco de datos y al responsable del tratamiento.

Cuando los datos personales son obtenidos directamente del titular de los datos personales se le debe comunicar de forma clara, con lenguaje sencillo, cuando menos lo siguiente:

La identidad y domicilio o dirección del titular del banco de datos personales o del responsable del tratamiento al que puede dirigirse para revocar el consentimiento o ejercer sus derechos.

Igualmente en el Artículo 34. Notificación del incidente de seguridad de datos personales Inc. 34.3

34.3 El titular del banco de datos o responsable del tratamiento que advierta un incidente de seguridad de datos personales que afecte al titular de los mismos en otros de sus derechos, debe comunicarlo dentro de las 48 horas a dicho titular sin dilación indebida, en un lenguaje sencillo y claro para su comprensión, así como de las medidas adoptadas para mitigar sus efectos. Si dicha comunicación se efectúa en un tiempo superior a las 48 horas debe ir acompañada de la indicación de los motivos de tal dilación.

Del mismo modo en el Artículo 20. Garantías para el flujo transfronterizo de datos personales Inc. 20.2

20.2 La Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales emite modelos de cláusulas contractuales a fin de que los receptores o importadores asuman las obligaciones que corresponden al titular del banco de datos o responsable del tratamiento, y se establezca los derechos y libertades de los titulares de los datos personales y las obligaciones de los responsables de tratamiento.

Y así lo confirma en los artículos:

Artículo 26 Tratamiento de datos para publicidad y prospección comercial;

Artículo 64. Requisitos de la solicitud;

Artículo 65. Servicios de atención al público; Artículo 64. Requisitos de la solicitud;

Artículo 67. Facilidades para el ejercicio del derecho;

Artículo 68. Forma de la respuesta para el ejercicio del derecho;

Artículo 69. Plazos de respuesta para el ejercicio del derecho;

Artículo 70. Requerimiento de información o documentación adicional;

Artículo 73. Denegación parcial o total ante el ejercicio de un derecho;

Artículo 76. Sobre Portabilidad de datos personales; incisos 76.1 al 76.4;

Artículo 77. Medios para el cumplimiento del derecho de acceso;

Artículo 82. Supresión o cancelación;

Artículo 83. Comunicación de la Supresión o cancelación;

Artículo 84. Improcedencia de la supresión o cancelación;

Artículo 85. Protección en caso de denegatoria de supresión o cancelación;

Artículo 86. Oposición;

Artículo 87. Derecho al tratamiento objetivo de datos personales;

Artículo 88. Procedimiento de tutela directa.

Sin embargo, en los Artículos 66; 89; 96; y 97, atribuyen funciones similares al Titular del banco de datos, el Encargado del banco de datos y el Responsable del tratamiento. Incluso, el artículo 97, incorpora funciones complementarias a los representantes de las personas naturales y jurídicas.

Artículo 66. Recepción y subsanación de la solicitud,

66.1 Todas las solicitudes presentadas deben ser recibidas dejándose constancia de su recepción por parte del titular del banco de datos personales o responsable del tratamiento o encargado de tratamiento, cuando así corresponda.

Artículo 89. Requisitos para el inicio del procedimiento trilateral de tutela

El ejercicio de los derechos se lleva a cabo mediante solicitud dirigida al titular del banco de datos personales o responsable del tratamiento o ante el encargado de tratamiento, si como consecuencia del encargo se establece en el contrato o relación jurídica que los vincule a la obligación de atender las solicitudes o se considere un responsable de tratamiento por administrar la base de datos personales, la misma que debe contener:

Artículo 96. Inicio de la actividad de fiscalización

96.1 La actividad de fiscalización se inicia siempre de oficio como consecuencia de:

1. Iniciativa directa de la Dirección de Fiscalización e Instrucción; o,

2. Por denuncia de cualquier entidad pública, persona natural o jurídica.

96.2 En todos los casos, la Dirección de Fiscalización e Instrucción requiere al titular del banco de datos personales, al encargado o a quien resulte responsable, información relativa al tratamiento de datos personales o la documentación necesaria.

(…)

Artículo 97. Tipos de actividad de fiscalización

La actividad de fiscalización se clasifica en:

1. Presencial: Acción de fiscalización que se realiza fuera de las sedes de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, en presencia del titular del banco de datos personales, el encargado o quien resulte responsable o sus representantes.

2. En gabinete: Acción de fiscalización que se realiza desde las sedes de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales y que implica el acceso y evaluación a través de medios digitales a las actividades que realiza el titular del banco de datos personales, el encargado o quien resulte responsable del tratamiento de datos personales.

Creo que un análisis más acucioso de la Exposición de Motivos del Nuevo Reglamento pudiera explicarnos las funciones comunes y/o específicas de cada uno de los Titulares, Encargados de Banco de Datos y Responsables de Tratamiento de Datos, incluso de los Representantes.

Todos ellos responsables de formas de cumplimiento de los principios rectores de la protección de datos, garantes de los derechos de los titulares de los datos personales y particularmente, responsables de las diferentes formas de tratamiento pero cuyos alcances no han sido netamente diferenciados.

Igualmente, esperamos que una precisión mayor pudiera ser reclamada a los órganos técnicos-normativos de la Autoridad Nacional de Protección de Datos Personales; a las Autoridades del procedimiento sancionador por la casuística que pudiera ser extraída de sus resoluciones; y obviamente, de las investigaciones sobre este tema.

______________________________________________________________

jueves, 3 de abril de 2025

INFORMACIÓN A INCLUIRSE EN SOLICITUD DE AUTORIZACIÓN COMO PROVEEDOR DE SERVICIOS DE CRIPTOACTIVOS – NORMAS TÉCNICAS DE REGULACIÓN EUROPEA.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@hotmail.com

RESUMEN

A fin de que las autoridades competentes puedan evaluar si las personas jurídicas que soliciten autorización como proveedores de servicios de criptoactivos cumplen los requisitos aplicables establecidos en el Reglamento (UE) 2023/1114, es preciso que la información que se facilite en la solicitud de autorización como proveedor de servicios de criptoactivos sea suficientemente detallada y exhaustiva, sin imponer cargas indebidas.

Entre la información detallada y exhaustiva prevista en el presente Reglamento Delegado figuran: la Información general; el Programa de actividades; los Requisitos prudenciales; la Información sobre la gobernanza, los mecanismos de control y los conflictos de intereses; las Estrategia de continuidad de la actividad; la Detección y prevención del blanqueo de capitales y la financiación del terrorismo; la Identidad de los miembros del órgano de dirección y prueba de su cumplimiento de los requisitos de honorabilidad, conocimientos, aptitudes, experiencia y dedicación de tiempo suficiente.

Además, la Información relativa a los accionistas o socios con participaciones cualificadas; los Sistemas de TIC y disposiciones de seguridad conexas; la Segregación y guarda de los criptoactivos y fondos de clientes; los Procedimientos de tramitación de reclamaciones; la Política de custodia y administración; Normas de funcionamiento de la plataforma de negociación y detección del abuso de mercado; el Canje de criptoactivos por fondos u otros criptoactivos; la Política de ejecución; la Prestación de servicios de asesoramiento sobre criptoactivos o gestión de carteras de criptoactivos; y los Servicios de transferencia.

El presente Reglamento delegado publicado el 31 de marzo de 2025 en el Diario Oficial de la Unión Europea, entrará en vigencia a los veinte días de su publicación.

______________________________________________________________

Diario Oficial
de la Unión Europea

Serie L

2025/305

31.3.2025

REGLAMENTO DELEGADO (UE) 2025/305 DE LA COMISIÓN

de 31 de octubre de 2024

por el que se completa el Reglamento (UE) 2023/1114 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación que especifican la información que debe incluirse en la solicitud de autorización como proveedor de servicios de criptoactivos

(Texto pertinente a efectos del EEE)

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2023/1114 del Parlamento Europeo y del Consejo, de 31 de mayo de 2023, relativo a los mercados de criptoactivos y por el que se modifican los Reglamentos (UE) n.o 1093/2010 y (UE) n.o 1095/2010 y las Directivas 2013/36/UE y (UE) 2019/1937 (1), y en particular su artículo 62, apartado 5, párrafo tercero,

Considerando lo siguiente:

(1)

A fin de que las autoridades competentes puedan evaluar si las personas jurídicas u otras empresas que soliciten autorización como proveedores de servicios de criptoactivos de conformidad con el artículo 62 del Reglamento (UE) 2023/1114 (en lo sucesivo, «solicitantes») cumplen los requisitos aplicables establecidos en el título V y, en su caso, en el título VI de dicho Reglamento, es preciso que la información que se facilite en la solicitud de autorización como proveedor de servicios de criptoactivos presentada de conformidad con el artículo 62, apartado 1, de dicho Reglamento (en lo sucesivo, «la solicitud de autorización») sea suficientemente detallada y exhaustiva, sin imponer cargas indebidas.

(2)

La solicitud de autorización debe contener datos sobre la identidad del solicitante, los mecanismos de gobernanza y los mecanismos de control interno, la idoneidad de los miembros del órgano de dirección y la honorabilidad suficiente de los accionistas o socios con participaciones cualificadas. De conformidad con el principio de minimización de datos expresado en el artículo 5, apartado 1, letra c), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (2), dicha información debe ser suficiente para que las autoridades competentes puedan llevar a cabo una evaluación exhaustiva de los solicitantes y de su capacidad para cumplir los requisitos pertinentes del Reglamento (UE) 2023/1114. Además, dicha información debe ser suficiente para que las autoridades competentes puedan verificar que no existen motivos objetivos y demostrables para denegar la autorización, de acuerdo con lo establecido en el artículo 63, apartado 10, letras a) a d), de dicho Reglamento.

(3)

Con miras a garantizar que la evaluación de las autoridades competentes se base en información exacta, los solicitantes deben facilitar copias de sus documentos corporativos, incluidos su identificador de entidad jurídica, los estatutos, una copia de su inscripción en el registro nacional de sociedades y, cuando los solicitantes tengan intención de gestionar una plataforma de negociación, el nombre comercial utilizado.

(4)

De conformidad con el artículo 62, apartado 2, letra d), del Reglamento (UE) 2023/1114, la solicitud de autorización debe contener un programa de actividades. Dicho programa ha de especificar la estructura organizativa de los solicitantes, su estrategia para la prestación de servicios de criptoactivos a los clientes destinatarios y su capacidad operativa durante los tres años siguientes a la autorización. Al especificar la estrategia utilizada para dirigirse a los clientes, por razones de transparencia, los solicitantes deben describir los medios de comercialización que se proponen utilizar, incluidos los sitios web, las aplicaciones para teléfonos móviles, las reuniones presenciales, los comunicados de prensa o cualquier tipo de medios físicos o electrónicos, incluidas las herramientas para campañas en medios sociales, los anuncios o banners en internet, el retargeting de la publicidad, los acuerdos con influyentes, los acuerdos de patrocinio, las llamadas, los seminarios web, cualquier invitación a un acto, las campañas de afiliación, las técnicas de ludificación, las invitaciones a cumplimentar un formulario de respuesta o a seguir un curso de formación, las cuentas de demostración o los materiales educativos.

(5)

A fin de que las autoridades competentes puedan evaluar la resiliencia de los solicitantes para resistir a perturbaciones financieras externas, incluidas las relativas al valor de los criptoactivos, los solicitantes deben incluir en su solicitud de autorización escenarios de tensión que simulen acontecimientos graves pero verosímiles en sus cálculos y planes previstos para determinar sus fondos propios.

(6)

Los clientes están expuestos a posibles riesgos relacionados con los proveedores de servicios de criptoactivos. Con objeto de que las autoridades competentes puedan evaluar si los solicitantes cumplen los requisitos prudenciales establecidos en el artículo 67 del Reglamento (UE) 2023/1114 para proteger a los clientes frente a tales riesgos, la solicitud de autorización debe contener información que especifique las salvaguardias prudenciales del solicitante.

(7)

Para garantizar que los proveedores de servicios de criptoactivos cumplan las obligaciones establecidas en el Reglamento (UE) 2023/1114, los solicitantes deben demostrar que cuentan con mecanismos de gobernanza y de control interno adecuados y sólidos, incluidas disposiciones y mecanismos esenciales para una gestión saneada y prudente de los proveedores de servicios de criptoactivos.

(8)

En el sistema de servicios financieros, el tiempo es esencial. Para evitar interrupciones, ya que pueden tener consecuencias financieras, reglamentarias y de reputación importantes para los proveedores de servicios de criptoactivos y los mercados de criptoactivos en general, es fundamental mantener las operaciones o al menos las funciones esenciales de los proveedores de servicios de criptoactivos y minimizar el tiempo de inactividad debido a perturbaciones imprevistas, incluidos los ciberataques y las catástrofes naturales. Por tanto, la solicitud de autorización debe contener información detallada sobre las disposiciones adoptadas por el solicitante para garantizar la continuidad y la regularidad de la prestación de servicios de criptoactivos, incluida una descripción detallada de sus riesgos y estrategias de continuidad de la actividad.

(9)

Se necesitan mecanismos, sistemas y procedimientos eficaces que cumplan la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo (3) y el Reglamento (UE) 2023/1113 del Parlamento Europeo y del Consejo (4) para garantizar que los solicitantes aborden adecuadamente los riesgos y las prácticas de blanqueo de capitales y financiación del terrorismo en la prestación de servicios de criptoactivos. Así pues, los solicitantes deben facilitar en su solicitud de autorización información detallada sobre los mecanismos, sistemas y procedimientos establecidos para prevenir los riesgos asociados a sus actividades empresariales en relación, entre otras cosas, con la lucha contra el blanqueo de capitales y la financiación del terrorismo.

(10)

De conformidad con el artículo 62, apartado 2, letra g), del Reglamento (UE) 2023/1114, la solicitud de autorización debe incluir pruebas de que los miembros del órgano de dirección gozan de la honorabilidad suficiente y poseen los conocimientos, las capacidades y la experiencia adecuados para gestionar dicho proveedor de servicios de criptoactivos. En particular, los solicitantes deben facilitar a las autoridades competentes toda la información sobre condenas penales anteriores y sobre investigaciones penales en curso, asuntos civiles y administrativos, sanciones, medidas de ejecución y otros procedimientos judiciales de los miembros del órgano de dirección relacionados con el Derecho mercantil, el Derecho concursal, el blanqueo de capitales, la financiación del terrorismo, el fraude y la responsabilidad profesional. A fin de proporcionar a las autoridades competentes información adecuada sobre la honorabilidad de los miembros del órgano de dirección, los solicitantes deben facilitar información relativa a aquellos casos que afecten directamente a dichos miembros o a una organización en la que estos hayan ocupado un cargo como miembro del órgano de dirección, de la que hayan sido accionistas o socios con participaciones cualificadas o en la que hayan sido titulares de funciones clave. Para garantizar que las autoridades competentes reciban información suficiente sobre las denegaciones o retiradas, entre otras cosas, de registros, autorizaciones o afiliaciones relacionadas con la prestación de servicios de criptoactivos por parte de los solicitantes, estos deben facilitar dicha información sobre cualquier miembro del órgano de dirección. Además, los solicitantes deben facilitar, respecto de cada miembro del órgano de dirección, información pertinente que permita a las autoridades competentes evaluar sus conocimientos, capacidades y experiencia profesionales en el ámbito de la función que pretendan desempeñar, así como una descripción de todos los intereses financieros y no financieros de los miembros del órgano de dirección que puedan crear conflictos de intereses importantes que afecten a su fiabilidad en el desempeño de su mandato.

(11)

Por lo que se refiere al requisito de honorabilidad de los accionistas y socios que posean, directa o indirectamente, participaciones cualificadas en la entidad solicitante, la solicitud de autorización debe contener toda la información sobre sus condenas anteriores e investigaciones penales, asuntos civiles y administrativos y otros procedimientos judiciales pendientes, así como información pertinente sobre la seguridad y el origen legítimo de los fondos utilizados para la creación de la entidad solicitante y la financiación de sus actividades, de modo que pueda evaluarse cualquier intento o sospecha de blanqueo de capitales o financiación del terrorismo.

(12)

Debido a la naturaleza descentralizada y digital de los criptoactivos, los riesgos de ciberseguridad para los proveedores de servicios de criptoactivos son significativos y adoptan muchas formas. A fin de garantizar que los solicitantes puedan prevenir las violaciones de datos y pérdidas financieras causadas por ciberataques, la información sobre los sistemas de TIC implantados por los solicitantes, así como sobre las disposiciones de seguridad conexas, a que se refiere el artículo 62, apartado 2, letra j), del Reglamento (UE) 2023/1114, debe incluir los recursos humanos destinados a hacer frente a los riesgos de ciberseguridad.

(13)

La segregación de los criptoactivos y fondos de los clientes los protege de las pérdidas del proveedor de servicios de criptoactivos y del uso indebido de sus criptoactivos y fondos. Por consiguiente, el artículo 70 del Reglamento (UE) 2023/1114 exige a los proveedores de servicios de criptoactivos que adopten las medidas adecuadas para salvaguardar los derechos de propiedad de los clientes. Este requisito también se aplica a los proveedores de servicios de criptoactivos que no presten servicios de custodia y administración. Por lo tanto, es importante que la solicitud de autorización incluya información sobre la segregación de los criptoactivos de los clientes.

(14)

Con objeto de que las autoridades competentes puedan evaluar la adecuación de las normas de funcionamiento de las plataformas de negociación de criptoactivos del solicitante, este debe proporcionar información detallada sobre determinados aspectos en la descripción de dichas normas. En particular, los solicitantes deben profundizar en los aspectos de las normas de funcionamiento relativos a la admisión a negociación, la negociación y la liquidación de criptoactivos. Por lo que se refiere a la admisión a negociación de criptoactivos, los solicitantes deben facilitar información detallada sobre las normas que rigen la admisión de criptoactivos a negociación, la manera en que los criptoactivos admitidos cumplen las normas de los solicitantes, los tipos de criptoactivos que los solicitantes no admitirán en su plataforma de negociación y los motivos de tales exclusiones, y las comisiones aplicadas por la admisión a negociación. En cuanto a la negociación de criptoactivos, los solicitantes deben especificar los elementos de las normas de funcionamiento que rigen la ejecución y cancelación de órdenes, la negociación ordenada, la transparencia y el mantenimiento de registros. Por último, los solicitantes deben incluir en la descripción de las normas de funcionamiento los elementos que rigen la liquidación de las operaciones de criptoactivos realizadas en la plataforma de negociación, en particular, si la liquidación se inicia en la tecnología de registro distribuido (en lo sucesivo, «TRD»), el plazo en el que se inicia la ejecución, la definición del momento en que la liquidación es definitiva, todas las verificaciones necesarias para garantizar la liquidación efectiva de la operación y cualquier medida para limitar los fallos en la liquidación.

(15)	El presente Reglamento se basa en el proyecto de normas técnicas de regulación presentado a la Comisión por la Autoridad Europea de Valores y Mercados, desarrollado en estrecha cooperación con la Autoridad Bancaria Europea.

(16)

La Autoridad Europea de Valores y Mercados ha llevado a cabo consultas públicas abiertas sobre los proyectos de normas técnicas de regulación en que se basa el presente Reglamento, ha analizado los costes y beneficios potenciales conexos y ha recabado el asesoramiento del Grupo de Partes Interesadas del Sector de los Valores y Mercados establecido de conformidad con el artículo 37 del Reglamento (UE) n.o 1095/2010 del Parlamento Europeo y del Consejo (5).

(17)	El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (6), formuló sus observaciones formales el 21 de junio de 2024.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

Información general

Las personas jurídicas u otras empresas que deseen obtener una autorización como proveedor de servicios de criptoactivos de conformidad con el artículo 62 del Reglamento (UE) 2023/1114 (en lo sucesivo, «solicitantes») incluirán en su solicitud de autorización toda la información siguiente:

a)	la razón social, el número de teléfono y la dirección de correo electrónico del solicitante;

b)	cualquier nombre comercial utilizado o que vaya a utilizar el solicitante;

c)	el identificador de entidad jurídica (LEI) del solicitante;

d)	el nombre completo, cargo, dirección de correo electrónico y número de teléfono del punto o persona de contacto designado;

la forma jurídica del solicitante a que se refiere el artículo 62, apartado 2, letra b), del Reglamento (UE) 2023/1114, incluida información sobre si el solicitante es una persona jurídica u otra empresa y, en su caso, el número de identificación nacional del solicitante, y pruebas de su inscripción en el registro nacional de sociedades;

f)	la fecha y el Estado miembro de constitución o fundación del solicitante;

g)	cuando proceda, las escrituras de constitución, los estatutos a que se refiere el artículo 62, apartado 2, letra c), del Reglamento (UE) 2023/1114 y el reglamento interno;

h)	la dirección de la sede central y, si fuera diferente, del domicilio social del solicitante;

i)	información sobre dónde operarán las sucursales, en su caso, y sus identificadores de entidad jurídica (LEI), cuando estén disponibles;

j)	el nombre de dominio de cada sitio web gestionado por el solicitante y sus cuentas en redes sociales;

si el solicitante no es una persona jurídica, documentación para evaluar si:

i)	el nivel de protección de los intereses de terceros y los derechos de los titulares de criptoactivos, incluso en caso de insolvencia, es equivalente a la protección ofrecida por las personas jurídicas;

ii)	el solicitante está sujeto a una supervisión prudencial equivalente y adecuada a su forma jurídica;

cuando el solicitante tenga la intención de gestionar una plataforma de negociación de criptoactivos:

i)	la dirección física, el número de teléfono y la dirección de correo electrónico de la plataforma de negociación de criptoactivos;

ii)	cualquier nombre comercial de la plataforma de negociación de criptoactivos.

Artículo 2

Programa de actividades

1. A efectos del artículo 62, apartado 2, letra d), del Reglamento (UE) 2023/1114, los solicitantes facilitarán a la autoridad competente el programa de actividades de los tres años siguientes a la autorización, que incluirá toda la información siguiente:

cuando el solicitante pertenezca a un grupo tal como se define en el artículo 2, punto 11, de la Directiva 2013/34/UE del Parlamento Europeo y del Consejo (7), una explicación de cómo las actividades del solicitante encajan en la estrategia del grupo e interactúan con las actividades de las demás entidades de dicho grupo, incluida una visión general de la organización y estructura actuales y previstas de dicho grupo;

b)	una explicación de cómo se espera que las actividades de las entidades afiliadas al solicitante, incluso cuando existan entidades reguladas en el grupo, incidan en las actividades del solicitante;

c)	una lista de los servicios de criptoactivos que el solicitante se propone prestar y los tipos de criptoactivos a los que se refieren los servicios de criptoactivos;

d)	otras actividades previstas, reguladas de conformidad con el Derecho de la Unión o nacional o no reguladas, incluidos los servicios, distintos de los servicios de criptoactivos, que el solicitante tenga la intención de prestar;

e)	si el solicitante tiene la intención de ofertar criptoactivos al público o solicita la admisión a negociación de criptoactivos y, en caso afirmativo, qué tipo de criptoactivos;

f)	una lista de territorios, tanto en la Unión como en terceros países, en las que el solicitante tiene previsto prestar servicios de criptoactivos, incluida información sobre el número específico de clientes a los que se dirige por zona geográfica;

g)	los tipos de clientes potenciales a los que se dirigen los servicios de criptoactivos del solicitante;

una descripción de los medios de acceso de los clientes a los servicios de criptoactivos del solicitante, incluidos todos los elementos siguientes:

los nombres de dominio de cada sitio web u otra aplicación basada en las TIC a través de los cuales el solicitante prestará los servicios de criptoactivos e información sobre las lenguas en las que estará disponible el sitio web u otra aplicación basada en las TIC, los tipos de servicios de criptoactivos a los que se accederá a través de dicho sitio web u otra aplicación basada en las TIC y, en su caso, desde qué Estados miembros será accesible el sitio web u otra aplicación basada en las TIC;

ii)

el nombre de cualquier aplicación basada en las TIC a disposición de los clientes para acceder a los servicios de criptoactivos, las lenguas en las que dicha aplicación basada en las TIC está disponible y los servicios de criptoactivos a los que se puede acceder a través de dicha aplicación basada en las TIC;

las actividades y disposiciones de comercialización y promoción previstas para los servicios de criptoactivos, en particular:

i)	todos los medios de comercialización que se utilicen para cada uno de los servicios;

ii)	los medios de identificación previstos del solicitante;

iii)	información sobre la categoría pertinente de clientes a los que se dirige;

iv)	los tipos de criptoactivos;

v)	las lenguas que se utilizarán para las actividades de comercialización y promoción;

j)	una descripción detallada de los recursos humanos, financieros y de TIC asignados a los servicios de criptoactivos previstos y su ubicación geográfica;

k)	la política de externalización del solicitante y una descripción detallada de los acuerdos de externalización previstos por el solicitante, incluidos los acuerdos intragrupo, y la manera en que el solicitante cumplirá lo dispuesto en el artículo 73 del Reglamento (UE) 2023/1114;

l)	la lista de entidades que prestarán servicios externalizados, su ubicación geográfica y los servicios pertinentes externalizados;

m)	un plan de previsión contable que incluya escenarios de tensión a nivel individual y, en su caso, consolidado y subconsolidado de conformidad con la Directiva 2013/34/UE;

n)	cualquier canje de criptoactivos por fondos y otras actividades de criptoactivos que el solicitante tenga previsto llevar a cabo, también a través de cualquier aplicación de financiación descentralizada con la que el solicitante tenga intención de interactuar por cuenta propia.

A efectos de la letra b), la explicación incluirá una lista e información sobre las entidades afiliadas al solicitante que comprenda, cuando existan entidades reguladas, los servicios prestados por dichas entidades, incluidos los servicios regulados, las actividades y los tipos de clientes, y los nombres de dominio de cada sitio web gestionado por dichas entidades.

A efectos de la letra k), el solicitante incluirá información sobre las funciones o la persona responsables de la externalización, los recursos humanos y de TIC asignados al control de las funciones, servicios o actividades externalizados de las disposiciones conexas, y la evaluación de riesgos relacionada con la externalización.

A efectos de la letra m), la previsión financiera tendrá en cuenta todos los préstamos intragrupo concedidos o que vayan a ser concedidos por y al solicitante.

2. Cuando los solicitantes tengan la intención de prestar el servicio de recepción y transmisión de órdenes relativas a criptoactivos por cuenta de clientes, facilitarán a las autoridades competentes una copia de los procedimientos y una descripción de las disposiciones que garanticen el cumplimiento del artículo 80 del Reglamento (UE) 2023/1114.

3. Cuando los solicitantes tengan la intención de prestar el servicio de colocación de criptoactivos, facilitarán a las autoridades competentes una copia de los procedimientos para detectar, prevenir, gestionar y comunicar los conflictos de intereses, así como una descripción de las disposiciones adoptadas para dar cumplimiento a lo dispuesto en el artículo 79 del Reglamento (UE) 2023/1114 y en el Reglamento Delegado de la Comisión por el que se establecen normas técnicas adoptadas en virtud del artículo 72, apartado 5, del Reglamento (UE) 2023/1114.

Artículo 3

Requisitos prudenciales

A efectos del artículo 62, apartado 2, letra e), del Reglamento (UE) 2023/1114, los solicitantes facilitarán a la autoridad competente toda la información siguiente:

una descripción de las salvaguardias prudenciales del solicitante establecidas en el artículo 67 del Reglamento (UE) 2023/1114, consistente en:

i)	el importe de las salvaguardias prudenciales en el momento de la solicitud de autorización y la descripción de las hipótesis utilizadas para el cálculo de dicho importe;

ii)	el importe de las salvaguardias prudenciales cubiertas por recursos propios según lo dispuesto en el artículo 67, apartado 4, letra a), del Reglamento (UE) 2023/1114, en su caso;

iii)	el importe de las salvaguardias prudenciales del solicitante cubiertas por una póliza de seguro según lo dispuesto en el artículo 67, apartado 4, letra b), del Reglamento (UE) 2023/1114, en su caso;

cálculos previstos y planes para determinar los fondos propios, incluidos:

i)	cálculo previsto de las salvaguardias prudenciales del solicitante para los tres primeros ejercicios siguientes a la autorización;

ii)	hipótesis de planificación, incluidos escenarios de tensión para la previsión a que se refiere el inciso i) y explicaciones de las cifras;

iii)	número y tipo de clientes, volumen de órdenes y operaciones y volumen de criptoactivos en custodia previstos;

c)	en el caso de las empresas u otras personas jurídicas que ya estén activas, cuando estén disponibles, los estados financieros de los últimos tres años aprobados, en su caso, por un auditor externo;

d)	una descripción de los procedimientos de planificación y supervisión de las salvaguardias prudenciales del solicitante con arreglo al artículo 67, apartado 1, del Reglamento (UE) 2023/1114;

prueba de que el solicitante cumple las salvaguardias prudenciales establecidas en el artículo 67 del Reglamento (UE) 2023/1114, en particular:

en relación con los fondos propios, según lo dispuesto en el artículo 67, apartado 4, letra a), del Reglamento (UE) 2023/1114:

1)	la documentación que especifique cómo el solicitante ha calculado el importe de las salvaguardias prudenciales de conformidad con el artículo 67 del Reglamento (UE) 2023/1114;

2)	en el caso de las empresas u otras personas jurídicas que ya estén activas y cuyos estados financieros no hayan sido auditados, una certificación por parte del supervisor nacional del importe de los fondos propios del solicitante;

3)	en el caso de las empresas en proceso de constitución, una declaración expedida por una entidad de crédito que certifique que los fondos han sido depositados en la cuenta del solicitante;

ii)

en relación con la póliza de seguro o garantía comparable, según lo dispuesto en el artículo 67, apartado 4, letra b), del Reglamento (UE) 2023/1114:

1)	la razón social, la fecha y el Estado miembro de constitución o fundación, la dirección de la sede central y, si fuera diferente, del domicilio social y los datos de contacto de la empresa autorizada para proporcionar la póliza de seguro o garantía comparable;

una copia de cualquiera de los documentos siguientes:

—	la póliza de seguro suscrita, con todos los elementos necesarios para el cumplimento del artículo 67, apartados 5 y 6, del Reglamento (UE) 2023/1114, si está disponible;

—	el acuerdo de seguro, con todos los elementos necesarios para el cumplimiento del artículo 67, apartados 5 y 6, del Reglamento (UE) 2023/1114, firmado por una empresa autorizada a proporcionar seguros de conformidad con el Derecho de la UE o nacional.

Artículo 4

Información sobre los sistemas de gobernanza y los mecanismos de control interno y sobre los conflictos de intereses

1. A efectos del artículo 62, apartado 2, letras f) e i), del Reglamento (UE) 2023/1114, los solicitantes facilitarán a la autoridad competente la siguiente información sobre sus sistemas de gobernanza y mecanismos de control interno:

a)	una descripción detallada de la estructura organizativa del solicitante que comprenda, en su caso, el grupo, incluida la indicación de la distribución de las tareas y competencias, las líneas jerárquicas pertinentes y las disposiciones de control interno aplicadas, junto con un organigrama;

los datos personales de los jefes de funciones internas (funciones de gestión, supervisión y control interno), incluida su ubicación y un currículum en el que figuren los estudios, la formación profesional y la experiencia profesional pertinentes, así como una descripción de los conocimientos, competencias y experiencia necesarios para el desempeño de las responsabilidades asignadas a dichos jefes de funciones internas;

las políticas y procedimientos que sean lo suficientemente eficaces para garantizar el cumplimiento del Reglamento (UE) 2023/1114, de conformidad con su artículo 68, apartado 4, y una descripción detallada de las disposiciones que garanticen que el personal pertinente conoce los procedimientos que deben seguirse para el correcto desempeño de sus responsabilidades, incluida una descripción detallada de los procedimientos para que el personal del solicitante informe de infracciones potenciales o reales del Reglamento (UE) 2023/1114, de conformidad con su artículo 116;

una descripción detallada de las disposiciones para mantener registros de la actividad y la organización interna del solicitante de conformidad con el artículo 68, apartado 9, del Reglamento (UE) 2023/1114, incluidas las disposiciones de mantenimiento de registros del solicitante de conformidad con el Reglamento Delegado de la Comisión por el que se establecen normas técnicas adoptadas en virtud del artículo 68, apartado 10, letra b), del Reglamento (UE) 2023/1114;

las disposiciones que permitan al órgano de dirección evaluar y revisar periódicamente la eficacia de las medidas y procedimientos establecidos para cumplir lo dispuesto en el título V, capítulos 2 y 3, del Reglamento (UE) 2023/1114, de conformidad con el artículo 68, apartado 6, de dicho Reglamento, incluidos todos los elementos siguientes:

i)	identificación de las funciones de control interno encargadas del seguimiento de dichas medidas y procedimientos, junto con el alcance de su responsabilidad y los sistemas de reporte al órgano de dirección del solicitante;

ii)	indicación de la periodicidad con que las funciones de control interno informan al órgano de dirección del solicitante sobre la eficacia de dichas medidas y procedimientos;

iii)

una explicación en la que se especifique:

1)	cómo garantiza el solicitante que las funciones de control interno operan de forma independiente y separada de las funciones bajo su control;

2)	si las funciones de control interno tienen acceso a los recursos y la información necesarios;

si esas funciones de control interno pueden informar directamente al órgano de dirección del solicitante al menos una vez al año y de manera puntual, en particular, cuando detecten un riesgo significativo de incumplimiento por parte del solicitante de sus obligaciones en virtud del Reglamento (UE) 2023/1114;

iv)

una descripción de los sistemas de TIC, las salvaguardias y los controles establecidos para supervisar las actividades del solicitante y cumplir lo dispuesto en el título V, capítulos 2 y 3, del Reglamento (UE) 2023/1114, incluidos los sistemas de reserva, los sistemas de TIC y los controles de riesgos, cuando no se hayan facilitado de conformidad con el artículo 9 del presente Reglamento;

f)	cuando proceda, una descripción de las disposiciones adoptadas para prevenir y detectar el abuso de mercado de conformidad con el artículo 92 del Reglamento (UE) 2023/1114;

g)	si el solicitante ha designado o va a designar auditores externos y, en caso afirmativo, su nombre y sus datos de contacto, si se dispone de ellos;

h)	las políticas y procedimientos contables por los que el solicitante registrará y comunicará su información financiera, incluidas las fechas de inicio y finalización del ejercicio contable aplicado.

2. De conformidad con el artículo 72 del Reglamento (UE) 2023/1114, a fin de detectar, prevenir, gestionar y comunicar los conflictos de intereses, los solicitantes facilitarán a la autoridad competente toda la información siguiente sobre la gestión de los conflictos de intereses:

una copia de la política de conflictos de intereses del solicitante, junto con una descripción de cómo dicha política:

i)	garantiza que el solicitante detecte, prevenga y gestione los conflictos de intereses, de conformidad con el artículo 72, apartado 1, del Reglamento (UE) 2023/1114, y los comunique, de conformidad con el artículo 72, apartado 2, de dicho Reglamento;

ii)	es proporcional a la dimensión, la naturaleza y la gama de los servicios de criptoactivos que el solicitante tiene la intención de prestar y de las demás actividades del grupo al que pertenece el solicitante;

iii)	garantiza que las políticas, procedimientos y mecanismos de remuneración no creen conflictos de intereses;

cómo garantiza la política de conflictos de intereses del solicitante el cumplimiento del Reglamento Delegado de la Comisión por el que se establecen normas técnicas adoptadas en virtud del artículo 72, apartado 5, del Reglamento (UE) 2023/1114, incluida información sobre los sistemas y disposiciones establecidos por el solicitante para:

i)	supervisar, evaluar y revisar la eficacia de su política en materia de conflictos de intereses y subsanar cualquier deficiencia;

ii)	registrar los casos de conflictos de intereses, incluida la detección, la evaluación, la reparación y si el caso ha sido comunicado al cliente.

Artículo 5

Estrategia de continuidad de la actividad

1. A efectos del artículo 62, apartado 2, letra i), del Reglamento (UE) 2023/1114, los solicitantes presentarán a la autoridad competente una descripción detallada de la estrategia de continuidad de la actividad, incluidas las medidas que deben adoptarse para garantizar la continuidad y la regularidad de la prestación de los servicios de criptoactivos del solicitante.

2. La descripción a que se refiere el apartado 1 incluirá lo siguiente:

a)	información detallada que demuestre que la estrategia de continuidad de la actividad es adecuada y que se han establecido disposiciones para mantener y someter a prueba periódicamente dicha estrategia;

b)	con respecto a las funciones esenciales o importantes sustentadas por proveedores terceros de servicios, información sobre cómo se garantiza la continuidad de la actividad si la calidad de la prestación de dichas funciones se deteriora hasta un nivel inaceptable o se suspende la prestación;

c)	información sobre cómo se garantiza la continuidad de la actividad en caso de fallecimiento de una persona clave y, en su caso, sobre los riesgos políticos en el territorio del prestador de servicios.

Artículo 6

Detección y prevención del blanqueo de capitales y la financiación del terrorismo

A efectos del artículo 62, apartado 2, letra i), del Reglamento (UE) 2023/1114, los solicitantes facilitarán a la autoridad competente información sobre sus mecanismos de control interno, políticas y procedimientos para cumplir las disposiciones de la legislación nacional de transposición de la Directiva (UE) 2015/849 y el marco de evaluación de riesgos para gestionar los riesgos relacionados con el blanqueo de capitales y la financiación del terrorismo, incluidos todos los elementos siguientes:

la evaluación por parte del solicitante de los riesgos inherentes y residuales de blanqueo de capitales y financiación del terrorismo asociados a su actividad, incluidos los riesgos relativos a:

i)	la clientela del solicitante;

ii)	servicios prestados;

iii)	los canales de distribución utilizados;

iv)	las áreas geográficas de actividad;

las medidas que el solicitante haya adoptado o vaya a adoptar para prevenir los riesgos detectados y cumplir los requisitos aplicables en materia de lucha contra el blanqueo de capitales y la financiación del terrorismo, incluidos el proceso de evaluación de riesgos del solicitante, las políticas y procedimientos para cumplir los requisitos de diligencia debida con respecto al cliente y las políticas y procedimientos para detectar y notificar transacciones o actividades sospechosas;

información detallada sobre cómo dichos mecanismos de control interno, políticas y procedimientos son adecuados y proporcionados a la escala, la naturaleza, el riesgo inherente de blanqueo de capitales y financiación del terrorismo, la gama de servicios de criptoactivos prestados y la complejidad del modelo de negocio, y la manera en que dichos mecanismos, políticas y procedimientos garantizan el cumplimiento de la Directiva (UE) 2015/849 y del Reglamento (UE) 2023/1113;

d)	la identidad de la persona encargada de garantizar el cumplimiento de los requisitos en materia de lucha contra el blanqueo de capitales y la financiación del terrorismo, y pruebas de sus conocimientos, capacidades y experiencia;

las disposiciones y recursos humanos y financieros que garanticen que el personal del solicitante recibe la formación adecuada en materia de lucha contra el blanqueo de capitales y la financiación del terrorismo (indicaciones anuales) y sobre los riesgos específicos relacionados con los criptoactivos;

f)	una copia de las políticas, procedimientos y sistemas de lucha contra el blanqueo de capitales y la financiación del terrorismo del solicitante;

g)	la frecuencia de la evaluación de la adecuación y eficacia de dichos mecanismos de control interno, políticas y procedimientos, y la persona o función responsable de dicha evaluación.

Artículo 7

Identidad de los miembros del órgano de dirección y prueba de su cumplimiento de los requisitos de honorabilidad, conocimientos, aptitudes, experiencia y dedicación de tiempo suficiente

1. A efectos del artículo 62, apartado 2, letra g), del Reglamento (UE) 2023/1114, los solicitantes facilitarán a la autoridad competente toda la información siguiente respecto de cada uno de los miembros del órgano de dirección:

a)	el nombre completo y, si fuera diferente, el nombre de nacimiento;

b)	el lugar y la fecha de nacimiento, la dirección y los datos de contacto del lugar de residencia actual y de cualquier otro lugar de residencia en los últimos diez años, nacionalidad o nacionalidades, número de identificación nacional y copia de un documento oficial de identidad o equivalente;

información detallada sobre el cargo ocupado o que vaya a ocupar el miembro del órgano de dirección, en particular, si el cargo es ejecutivo o no ejecutivo, la fecha de inicio o la fecha prevista de inicio y, en su caso, la duración del mandato, así como una descripción de las principales funciones y responsabilidades del miembro;

un currículum en el que se recojan los estudios, la formación profesional y la experiencia profesional pertinentes, con indicación del nombre y la naturaleza de todas las organizaciones para las que el miembro haya trabajado, así como la naturaleza y la duración de las funciones desempeñadas en los puestos ocupados en los diez años anteriores, haciendo especial hincapié en cualquier actividad que entre dentro del ámbito del puesto solicitado, incluida toda experiencia profesional pertinente en relación con los servicios financieros, los criptoactivos u otros activos digitales, la TRD, la tecnología de la información, la ciberseguridad o la innovación digital;

e)	documentación relativa a la reputación y a la experiencia del miembro, en concreto, una lista de personas de referencia con información de contacto y cartas de recomendación;

historial del miembro, a saber:

i)	ausencia de antecedentes penales;

ii)

información sobre procesos penales o investigaciones o sanciones pendientes (en relación con el Derecho mercantil, el Derecho de los servicios financieros, el blanqueo de capitales y la financiación del terrorismo, el fraude o la responsabilidad profesional), información sobre procedimientos de ejecución o sanciones, información sobre asuntos civiles y administrativos pertinentes y medidas disciplinarias, incluida la inhabilitación como administrador de una empresa, la quiebra, la insolvencia y procedimientos similares;

iii)

información sobre cualquier denegación, retirada, revocación o cese de un registro, autorización, afiliación o licencia para llevar a cabo una actividad comercial, empresarial o profesional, o sobre cualquier expulsión por parte de un organismo regulador o gubernamental, un organismo profesional o una asociación;

iv)	información sobre el despido de un cargo de confianza, una relación fiduciaria o una situación de confianza o relación similar;

v)	información sobre si alguna autoridad ha evaluado la reputación de la persona, incluida la identidad de dicha autoridad, la fecha de la evaluación y la información sobre el resultado de dicha evaluación.

una descripción de cualesquiera intereses financieros y no financieros o de las relaciones del miembro y de sus familiares próximos con otros miembros del órgano de dirección y con las personas que ocupen cargos clave en la misma entidad, la sociedad matriz, sus filiales y accionistas que pudieran causar un conflicto de intereses.

h)	cuando se detecte un conflicto de intereses importante, una declaración de cómo se mitigará o solucionará dicho conflicto, incluida una referencia a las líneas generales de la política en materia de conflictos de intereses;

información sobre el tiempo que el miembro dedicará al desempeño de sus funciones en el seno de la entidad solicitante, incluidos todos los elementos siguientes:

i)	el tiempo mínimo estimado, por año y por mes, que el miembro dedicará al desempeño de sus funciones en la entidad solicitante;

ii)	una lista de los demás cargos de dirección ejecutivos y no ejecutivos que ocupe el miembro, relativos a actividades comerciales y no comerciales o creados con el único fin de gestionar los intereses económicos del miembro de que se trate;

iii)

información sobre el tamaño y la complejidad de las empresas u organizaciones en las que mantiene los cargos de dirección a que se refiere el inciso ii), incluidos los activos totales, sobre la base de las últimas cuentas anuales disponibles, tanto si la sociedad está cotizada como si no, y el número de empleados de dichas empresas u organizaciones;

iv)	una lista de cualquier responsabilidad adicional asociada a los cargos de dirección mencionados en el inciso ii), incluida la presidencia de comités;

v)	el tiempo estimado en días al año dedicado a cada uno de los demás cargos de dirección mencionados en el inciso ii) y el número de reuniones anuales dedicadas a cada mandato.

A efectos de la letra d), el solicitante incluirá información detallada sobre todos los poderes delegados y las competencias en el proceso interno de toma de decisiones que posea, así como sobre los ámbitos operativos bajo su control.

A efectos de la letra f), incisos i) y ii), los solicitantes facilitarán la información mediante un certificado oficial, cuando se disponga de un certificado oficial del Estado miembro o tercer país de que se trate, o mediante otro documento equivalente, cuando no exista dicho certificado. Los registros, certificados y documentos oficiales deberán haberse expedido en los tres meses anteriores a la presentación de la solicitud de autorización. En relación con las investigaciones en curso, la información podrá proporcionarse mediante una declaración jurada.

A efectos de la letra f), inciso iv), el solicitante no estará obligado a presentar la información sobre la evaluación anterior cuando la autoridad competente ya disponga de dicha información.

A efectos de la letra g), la descripción comprenderá cualquier interés financiero, incluidos criptoactivos, otros activos digitales, préstamos, participaciones, garantías o garantías reales concedidas o recibidas, relaciones comerciales, procedimientos judiciales y si en los dos últimos años la persona ha sido una persona del medio político, tal como se define en el artículo 3, punto 9), de la Directiva (UE) 2015/849.

2. El solicitante de autorización como proveedor de servicios de criptoactivos de conformidad con el artículo 62 del Reglamento (UE) 2023/1114 facilitará a la autoridad competente los resultados de toda evaluación de idoneidad que haya realizado de cada miembro del órgano de dirección, así como los resultados de la evaluación de idoneidad colectiva del órgano de dirección, incluidos el informe de evaluación de idoneidad o los documentos sobre el resultado de la evaluación de idoneidad.

Artículo 8

Información relativa a los accionistas o socios con participaciones cualificadas

A efectos del artículo 62, apartado 2, letra h), del Reglamento (UE) 2023/1114, los solicitantes facilitarán a la autoridad competente toda la información siguiente:

a)	un organigrama detallado de la estructura de participación del solicitante, incluido el desglose de su capital y de sus derechos de voto y los nombres de los accionistas o socios con participaciones cualificadas;

b)	para cada accionista o socio que posea una participación cualificada directa o indirecta en el solicitante, la información y los documentos establecidos en los artículos 1 a 4 del Reglamento Delegado (UE) 2025/414 de la Comisión (8), según proceda;

c)	la identidad de cada miembro del órgano de dirección que dirigirá la actividad del solicitante y que será nombrado por dicho accionista o socio con participaciones cualificadas, o previa designación de este;

para cada accionista o socio que posea, directa o indirectamente, una participación cualificada en el solicitante, información sobre el número y el tipo de acciones u otras participaciones suscritas, su valor nominal, cualquier prima pagada o por pagar, cualquier garantía o gravamen, incluida la identidad de las partes garantizadas;

e)	la información a que se refieren el artículo 6, letras b), d) y e), y el artículo 8 del Reglamento Delegado (UE) 2025/414 de la Comisión.

Artículo 9

Sistemas de TIC y disposiciones de seguridad conexas

A efectos del artículo 62, apartado 2, letra j), del Reglamento (UE) 2023/1114, los solicitantes facilitarán a la autoridad competente la información siguiente:

documentación técnica de los sistemas de TIC, la infraestructura de TRD utilizada, cuando proceda, y las disposiciones de seguridad, incluida una descripción de las disposiciones establecidas y los recursos humanos y de TIC asignados para cumplir el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (9), como sigue:

una descripción de la manera en que el solicitante garantiza un marco de gestión del riesgo relacionado con las TIC sólido, exhaustivo y bien documentado como parte de su sistema general de gestión de riesgos, incluida una descripción detallada de los sistemas, protocolos y herramientas de TIC, y de cómo los procedimientos, políticas y sistemas del solicitante para salvaguardar la seguridad, integridad, disponibilidad, autenticidad y confidencialidad de los datos cumplen los Reglamentos (UE) 2022/2554 y (UE) 2016/679;

ii)

una descripción de los servicios de TIC que sustentan funciones esenciales o importantes desarrollados o mantenidos por el solicitante y de estos mismos servicios prestados por proveedores terceros, una descripción de los acuerdos contractuales correspondientes (identidad y ubicación geográfica de los proveedores, descripción de las actividades o servicios de TIC externalizados con sus características principales, copia de los acuerdos contractuales) y la manera en que dichos acuerdos cumplen lo dispuesto en el artículo 73 del Reglamento (UE) 2023/1114 y en el capítulo V del Reglamento (UE) 2022/2554;

iii)	una descripción de los procedimientos, políticas, disposiciones y sistemas del solicitante en materia de seguridad y gestión de incidentes;

si se dispone de ella, una descripción de una auditoría de ciberseguridad realizada por un auditor de ciberseguridad tercero con experiencia suficiente de conformidad con el Reglamento Delegado de la Comisión por el que se establecen normas técnicas adoptadas en virtud del artículo 26, apartado 11, párrafo cuarto, del Reglamento (UE) 2022/2554, que abarque, idealmente, las siguientes auditorías o pruebas:

i)	la ciberseguridad organizativa, la seguridad física y las disposiciones para el desarrollo seguro del ciclo de vida del desarrollo de software;

ii)	evaluaciones y exploraciones de vulnerabilidad y evaluaciones de la seguridad de las redes;

iii)	revisiones de la configuración de los activos de TIC que sustentan funciones esenciales e importantes, tal como se definen en el artículo 3, punto 22, del Reglamento (UE) 2022/2554;

iv)

pruebas de penetración de los activos de TIC que sustentan funciones esenciales e importantes, tal como se definen en el artículo 3, punto 17, del Reglamento (UE) 2022/2554, de conformidad con todos los siguientes métodos de prueba de auditoría:

fase de caja negra: el auditor no dispone de más información que las direcciones IP y las URL asociadas al objetivo auditado. Esta fase suele ir precedida por el descubrimiento de información y la identificación del objetivo mediante la consulta de los servicios del sistema de nombres de dominio (DNS), el escaneado de los puertos abiertos, la detección de la presencia de equipos de filtrado, etc.;

2)	fase de caja gris: los auditores tienen el conocimiento de un usuario estándar del sistema de información (autenticación legítima, estación de trabajo «estándar», etc.). Los identificadores pueden pertenecer a diferentes perfiles de usuario con el fin de probar diferentes niveles de privilegios;

3)	fase de caja blanca: los auditores disponen de la mayor cantidad posible de información técnica (arquitectura, código fuente, contactos telefónicos, identificadores, etc.) antes de iniciar el análisis y también tienen acceso a los contactos técnicos relacionados con el objetivo;

v)	cuando el solicitante utilice o desarrolle contratos inteligentes, un examen del código fuente de dichos contratos desde el punto de vista de la ciberseguridad;

c)	una descripción de las auditorías realizadas de los sistemas de TIC, en su caso, incluida la infraestructura de TRD utilizada y las disposiciones de seguridad;

d)	una descripción de la información pertinente a que se refieren las letras a) y b) en un lenguaje no técnico.

Artículo 10

Segregación y guarda de los criptoactivos y fondos de clientes

1. A efectos del artículo 62, apartado 2, letra k), del Reglamento (UE) 2023/1114, los solicitantes que tengan la intención de mantener criptoactivos pertenecientes a clientes o los medios de acceso a dichos criptoactivos, o a los fondos de clientes, distintos de las fichas de dinero electrónico, facilitarán a la autoridad competente una descripción detallada de sus procedimientos de segregación de criptoactivos y fondos de clientes, incluidos todos los elementos siguientes:

cómo garantiza el solicitante que:

i)	los fondos de los clientes no se utilizan por cuenta propia;

ii)	los criptoactivos pertenecientes a los clientes no se utilizan por cuenta propia;

iii)	los monederos en los que se mantienen los criptoactivos de clientes son diferentes de los propios monederos del solicitante;

b)	una descripción detallada del sistema de aprobación de claves criptográficas y la protección de las claves criptográficas, incluidos los monederos multifirma;

c)	la forma en que el solicitante segrega los criptoactivos de los clientes, incluido con respecto a los criptoactivos de otros clientes cuando los monederos contengan criptoactivos de más de un cliente (cuentas ómnibus);

una descripción del procedimiento que garantice que los fondos de los clientes, distintos de las fichas de dinero electrónico, se depositan en un banco central o una entidad de crédito antes del final del día hábil siguiente al día en que se reciben y se mantienen en una cuenta distinta de cualquier cuenta utilizada para mantener fondos pertenecientes al solicitante;

cuando el solicitante no tenga intención de depositar fondos en el banco central pertinente, qué factores tiene en cuenta para seleccionar a las entidades de crédito en las que depositar los fondos de los clientes, incluida la política de diversificación del solicitante, cuando esté disponible, y la frecuencia con la que revisa la selección de las entidades de crédito en las que deposita los fondos de los clientes;

f)	cómo garantiza el solicitante que los clientes estén informados, en un lenguaje claro, conciso y no técnico, sobre los aspectos clave de sus sistemas, políticas y procedimientos para cumplir lo dispuesto en el artículo 70, apartados 1, 2 y 3, del Reglamento (UE) 2023/1114.

2. De conformidad con el artículo 70, apartado 5, del Reglamento (UE) 2023/1114, los proveedores de servicios de criptoactivos que sean entidades de dinero electrónico o entidades de pago solo facilitarán la información a que se refiere el apartado 1 del presente artículo en relación con la segregación de los criptoactivos de los clientes.

Artículo 11

Procedimientos de tramitación de reclamaciones

A efectos del artículo 62, apartado 2, letra l), del Reglamento (UE) 2023/1114, los solicitantes facilitarán a la autoridad competente una descripción detallada de sus procedimientos de tramitación de reclamaciones, incluida toda la información siguiente:

a)	información sobre los recursos humanos y técnicos asignados a la tramitación de reclamaciones;

información sobre la persona encargada de los recursos dedicados a la gestión de las reclamaciones, junto con un currículum en el que se recojan los estudios, la formación profesional y la experiencia profesional pertinentes que justifiquen los conocimientos, las competencias y la experiencia para el desempeño de las responsabilidades asignadas a dicha persona;

c)	cómo garantiza el solicitante el cumplimiento del Reglamento Delegado de la Comisión por el que se establecen normas técnicas adoptadas en virtud del artículo 71, apartado 5, del Reglamento (UE) 2023/1114;

cómo informará el solicitante a los clientes o posibles clientes de la posibilidad de presentar una reclamación de forma gratuita, si la información está disponible en el sitio web del solicitante o en cualquier otro dispositivo digital pertinente que puedan utilizar los clientes para acceder a los servicios de criptoactivos, y el contenido de la información facilitada;

e)	las disposiciones del solicitante para la conservación de registros en relación con las reclamaciones;

f)	el calendario previsto en los procedimientos de tramitación de reclamaciones del solicitante para investigar las reclamaciones recibidas, responder a ellas y, en su caso, tomar las medidas necesarias;

g)	la forma en que el solicitante informará a los clientes o posibles clientes de las soluciones disponibles;

h)	las etapas esenciales del procedimiento del solicitante para tomar una decisión sobre una reclamación y cómo comunicará dicha decisión al cliente o posible cliente que haya presentado la reclamación.

Artículo 12

Política de custodia y administración

A efectos del artículo 62, apartado 2, letra m), del Reglamento (UE) 2023/1114, los solicitantes que tengan la intención de prestar servicios de custodia y administración de criptoactivos por cuenta de clientes facilitarán a la autoridad competente toda la información siguiente:

una descripción de las disposiciones relacionadas con el tipo de custodia ofrecida a los clientes, una copia del acuerdo estándar del solicitante para la custodia y administración de criptoactivos por cuenta de clientes de conformidad con el artículo 75, apartado 1, del Reglamento (UE) 2023/1114 y una copia del resumen de la política de custodia puesta a disposición de los clientes de conformidad con el artículo 75, apartado 3, del Reglamento (UE) 2023/1114;

la política de custodia y administración del solicitante, incluida una descripción de las fuentes detectadas de riesgos operativos y de TIC para la guarda y el control de los criptoactivos o los medios de acceso a los criptoactivos de los clientes, junto con una descripción de:

i)	las políticas y procedimientos y una descripción de las disposiciones para cumplir lo dispuesto en el artículo 75, apartado 8, del Reglamento (UE) 2023/1114;

ii)	las políticas y procedimientos y una descripción de los sistemas y controles para gestionar los riesgos operativos y de TIC, en particular cuando la custodia y administración de criptoactivos por cuenta de clientes se externalice a un tercero;

iii)	las políticas y procedimientos relativos a los sistemas que garantizan el ejercicio de los derechos vinculados a los criptoactivos por parte de los clientes, así como una descripción de dichos sistemas;

iv)	los procedimientos y una descripción de los sistemas que garantizan la devolución de criptoactivos o los medios de acceso a los clientes;

c)	información sobre cómo se identifican los criptoactivos y los medios de acceso a los criptoactivos de los clientes;

d)	información sobre las disposiciones existentes para minimizar el riesgo de pérdida de criptoactivos o de medios de acceso a los criptoactivos;

cuando el proveedor de servicios de criptoactivos haya delegado la prestación de servicios de custodia y administración de criptoactivos por cuenta de clientes en un tercero:

i)	información sobre la identidad de cualquier tercero que preste los servicios de custodia y administración de criptoactivos y su situación de conformidad con el artículo 59 o el artículo 60 del Reglamento (UE) 2023/1114;

ii)	una descripción de las funciones relacionadas con la custodia y administración de criptoactivos delegadas por el proveedor de servicios de criptoactivos, la lista de los delegados y subdelegados, según proceda, y cualquier conflicto de intereses que pueda surgir de dicha delegación;

iii)	una descripción del modo en que el solicitante tiene la intención de supervisar las delegaciones o subdelegaciones.

Artículo 13

Normas de funcionamiento de la plataforma de negociación y detección del abuso de mercado

1. A efectos del artículo 62, apartado 2, letra n), del Reglamento (UE) 2023/1114, los solicitantes que tengan la intención de gestionar una plataforma de negociación de criptoactivos facilitarán a la autoridad competente toda la información siguiente:

a)	las normas sobre la admisión de criptoactivos a negociación;

b)	el proceso de aprobación de la admisión a negociación de criptoactivos, incluida la diligencia debida con respecto al cliente llevada a cabo de conformidad con la Directiva (UE) 2015/849;

c)	la lista de las categorías de criptoactivos que no se admitirán a negociación y los motivos de dicha exclusión;

d)	las políticas, procedimientos y comisiones aplicables a la admisión a negociación, junto con una descripción, en su caso, de la afiliación, los descuentos y las condiciones correspondientes;

e)	las normas que rigen la ejecución de órdenes, incluidos los procedimientos de cancelación de las órdenes ejecutadas y de divulgación de dicha información a los participantes en el mercado;

f)	las políticas, procedimientos y métodos establecidos para evaluar la idoneidad de los criptoactivos de conformidad con el artículo 76, apartado 2, del Reglamento (UE) 2023/1114;

g)	los sistemas, procedimientos y disposiciones establecidos para cumplir lo dispuesto en el artículo 76, apartado 7, del Reglamento (UE) 2023/1114;

la forma de hacer públicos los precios de compra y venta, la profundidad de las posiciones negociables que se difundan para dichos precios en lo que respecta a los criptoactivos a través de sus plataformas de negociación y el precio, el volumen y la hora de las operaciones ejecutadas en relación con los criptoactivos negociados en sus plataformas de negociación, de conformidad con el artículo 76, apartados 9 y 10, del Reglamento (UE) 2023/1114;

i)	las estructuras de comisiones y una justificación que describa cómo dichas estructuras de comisiones cumplen lo dispuesto en el artículo 76, apartado 13, del Reglamento (UE) 2023/1114;

j)	los sistemas, procedimientos y disposiciones establecidos para mantener los datos relativos a todas las órdenes a disposición de la autoridad competente o el mecanismo para garantizar que la autoridad competente tenga acceso a la cartera de órdenes y a cualquier otro sistema de negociación;

por lo que se refiere a la liquidación de operaciones:

i)	si la liquidación final de las operaciones se inicia en el registro distribuido o fuera de él;

ii)	el plazo en el que se inicia la liquidación final de las operaciones de criptoactivos;

iii)	la forma de verificar la disponibilidad de fondos y criptoactivos;

iv)	la forma de confirmar los detalles pertinentes de las operaciones;

v)	las medidas previstas para limitar los fallos en la liquidación;

vi)	el momento en que la liquidación es definitiva y el momento en que se inicia la liquidación definitiva tras la ejecución de la operación;

l)	las políticas, procedimientos y sistemas establecidos para detectar y prevenir el abuso de mercado, incluida la información sobre las comunicaciones a la autoridad competente de posibles casos de abuso de mercado.

2. Los solicitantes que tengan la intención de gestionar una plataforma de negociación de criptoactivos facilitarán a la autoridad competente una copia de las normas de funcionamiento de la plataforma de negociación y de cualquier procedimiento y sistema para detectar y prevenir el abuso de mercado.

Artículo 14

Canje de criptoactivos por fondos u otros criptoactivos

A efectos del artículo 62, apartado 2, letra o), del Reglamento (UE) 2023/1114, los solicitantes que tengan la intención de canjear criptoactivos por fondos u otros criptoactivos facilitarán a la autoridad competente toda la información siguiente:

a)	una descripción de la política comercial establecida con arreglo al artículo 77, apartado 1, del Reglamento (UE) 2023/1114;

una descripción del método para determinar el precio de los criptoactivos que el solicitante propone canjear por fondos u otros criptoactivos de conformidad con el artículo 77, apartado 2, del Reglamento (UE) 2023/1114, incluido el modo en que el volumen y la volatilidad del mercado de los criptoactivos afectan al mecanismo de fijación de precios.

Artículo 15

Política de ejecución

A efectos del artículo 62, apartado 2, letra p), del Reglamento (UE) 2023/1114, los solicitantes que tengan la intención de ejecutar órdenes relacionadas con criptoactivos por cuenta de clientes facilitarán a la autoridad competente su política de ejecución, incluidos todos los elementos siguientes:

a)	las disposiciones que garanticen que el cliente ha dado su consentimiento sobre la política de ejecución antes de la ejecución de la orden;

b)	una lista de las plataformas de negociación de criptoactivos que utilizará el solicitante para la ejecución de órdenes y los criterios para la evaluación de los centros de ejecución incluidos en la política de ejecución de conformidad con el artículo 78, apartado 6, del Reglamento (UE) 2023/1114;

las plataformas de negociación que el solicitante tenga previsto utilizar para cada tipo de criptoactivos y la confirmación de que el solicitante no recibirá ninguna forma de remuneración, descuento o beneficio no monetario a cambio de dirigir las órdenes recibidas a una plataforma de específica de negociación de criptoactivos;

la forma en que la ejecución tiene en cuenta el precio, los costes, la rapidez, la probabilidad de ejecución y liquidación, el tamaño, la naturaleza, las condiciones de custodia de los criptoactivos o cualquier otro factor pertinente que se considere parte de todas las medidas necesarias para obtener el mejor resultado posible para el cliente;

e)	cuando proceda, las disposiciones para informar a los clientes de que el solicitante ejecutará órdenes fuera de una plataforma de negociación y cómo este obtendrá el consentimiento expreso previo de sus clientes antes de ejecutar dichas órdenes;

cómo se advierte al cliente de que cualquier instrucción específica de este puede impedir que el solicitante adopte las medidas necesarias, en consonancia con las disposiciones que haya establecido y aplicado en su política de ejecución, para obtener el mejor resultado posible en la ejecución de dichas órdenes con respecto a los elementos cubiertos por dichas instrucciones;

g)	el proceso de selección de los centros de negociación, las estrategias de ejecución empleadas, los mecanismos utilizados para analizar la calidad de la ejecución obtenida y la forma en que el solicitante supervisa y verifica que se hayan obtenido los mejores resultados posibles para los clientes;

h)	las disposiciones adoptadas para evitar el uso indebido de cualquier información relativa a las órdenes de los clientes por parte de los empleados del solicitante;

i)	las disposiciones y procedimientos para la forma en que el solicitante comunicará a los clientes información sobre su política de ejecución de órdenes y les notificará cualquier cambio significativo de dicha política;

j)	las disposiciones para demostrar el cumplimiento del artículo 78 del Reglamento (UE) 2023/1114 a la autoridad competente, a petición de esta.

Artículo 16

Prestación de servicios de asesoramiento sobre criptoactivos o gestión de carteras de criptoactivos

A efectos del artículo 62, apartado 2, letra q), del Reglamento (UE) 2023/1114, los solicitantes que tengan la intención de prestar servicios de asesoramiento sobre criptoactivos o gestión de carteras de criptoactivos facilitarán a la autoridad competente toda la información siguiente:

una descripción detallada de las disposiciones adoptadas por el solicitante para cumplir lo dispuesto en el artículo 81, apartado 7, del Reglamento (UE) 2023/1114, que incluya lo siguiente:

i)	los mecanismos para controlar, evaluar y mantener eficazmente los conocimientos y la experiencia de las personas físicas que asesoren sobre criptoactivos o gestionen carteras de criptoactivos;

ii)

las disposiciones que garanticen que las personas físicas que participen en la prestación de servicios de asesoramiento o de gestión de carteras conozcan, comprendan y apliquen las políticas y procedimientos internos del solicitante establecidos para cumplir el Reglamento (UE) 2023/1114, en particular su artículo 81, apartado 1, y la Directiva (UE) 2015/849;

iii)	la cantidad de recursos humanos y financieros que el solicitante prevé dedicar anualmente al desarrollo profesional y la formación del personal que asesore sobre criptoactivos o gestione carteras de criptoactivos;

los mecanismos para controlar, evaluar y mantener eficazmente los conocimientos y la experiencia necesarios de las personas físicas que presten servicios de asesoría en nombre del solicitante, con arreglo a los criterios para dicha evaluación utilizados en la legislación nacional, a fin de llevar a cabo la evaluación de idoneidad a que se refiere el artículo 81, apartado 1, del Reglamento (UE) 2023/1114.

Artículo 17

Servicios de transferencia

A efectos del artículo 62, apartado 2, letra r), del Reglamento (UE) 2023/1114, los solicitantes que tengan la intención de prestar servicios de transferencia de criptoactivos por cuenta de clientes facilitarán a la autoridad competente toda la información siguiente:

a)	información detallada sobre los tipos de criptoactivos para los que el solicitante tiene la intención de prestar servicios de transferencia;

una descripción detallada de las disposiciones adoptadas por el solicitante para cumplir lo dispuesto en el artículo 82 del Reglamento (UE) 2023/1114, incluida información detallada sobre las disposiciones adoptadas, los recursos humanos asignados y los recursos de TIC implantados para hacer frente a los riesgos de forma rápida, eficiente y exhaustiva durante la prestación de servicios de transferencia de criptoactivos por cuenta de clientes, teniendo en cuenta los posibles fallos operativos y los riesgos de ciberseguridad;

c)	cuando se disponga de ella, una descripción de la póliza de seguro del solicitante, incluida la cobertura de los perjuicios que puedan sufrir los criptoactivos del cliente como consecuencia de los riesgos de ciberseguridad;

d)	disposiciones para garantizar que los clientes estén adecuadamente informados sobre las políticas, procedimientos y mecanismos a que se refiere la letra b).

Artículo18

Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 31 de octubre de 2024.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

(1) DO L 150 de 9.6.2023, p. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.

(2) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3) Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifica el Reglamento (UE) n.o 648/2012 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2005/60/CE del Parlamento Europeo y del Consejo y la Directiva 2006/70/CE de la Comisión (DO L 141 de 5.6.2015, p. 73, ELI: http://data.europa.eu/eli/dir/2015/849/oj).

(4) Reglamento (UE) 2023/1113 del Parlamento Europeo y del Consejo, de 31 de mayo de 2023, relativo a la información que acompaña a las transferencias de fondos y de determinados criptoactivos y por el que se modifica la Directiva (UE) 2015/849 (DO L 150 de 9.6.2023, p. 1, ELI: http://data.europa.eu/eli/reg/2023/1113/oj).

(5) Reglamento (UE) n.o 1095/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Europea de Valores y Mercados), se modifica la Decisión n.o 716/2009/CE y se deroga la Decisión 2009/77/CE de la Comisión (DO L 331 de 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

(6) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39. ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(7) Directiva 2013/34/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los estados financieros anuales, los estados financieros consolidados y otros informes afines de ciertos tipos de empresas, por la que se modifica la Directiva 2006/43/CE del Parlamento Europeo y del Consejo y se derogan las Directivas 78/660/CEE y 83/349/CEE del Consejo (DO L 182 de 29.6.2013, p. 19, ELI: http://data.europa.eu/eli/dir/2013/34/oj).

(8) Reglamento Delegado (UE) 2025/414 de la Comisión, de 18 de diciembre de 2024, por el que se completa el Reglamento (UE) 2023/1114 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación que especifican el contenido detallado de la información necesaria para llevar a cabo la evaluación de la adquisición propuesta de una participación cualificada en un proveedor de servicios de criptoactivos (DO L, 2025/414, 31.3.2025 ELI: http://data.europa.eu/eli/reg_del/2025/414/oj).

(9) Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).

ELI: http://data.europa.eu/eli/reg_del/2025/305/oj

ISSN 1977-0685 (electronic edition)