Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
El
Reglamento Delegado (UE) 2025/1143 de la Comisión del 12 de junio de 2025
completa el Reglamento
(UE) n.º 600/2014, relativo a los mercados de instrumentos financieros, MiFIR, estableciendo
normas técnicas de regulación sobre los requisitos de autorización y
organización para agentes de publicación autorizados, sistemas de información
autorizados y proveedores de información consolidada, además de derogar el
anterior Reglamento Delegado (UE) 2017/571.
Su
principal objetivo es definir estándares precisos en materia financiera,
estableciendo requisitos claros que deben cumplir los intermediarios y
proveedores de servicios de información financiera que actúan en mercados
regulados bajo el marco MiFIR.
El
reglamento especifica los requisitos mínimos para los sistemas internos,
gobernanza, estructura organizativa y controles de los agentes de publicación y
sistemas de información autorizados; exige a los proveedores de información
consolidada requisitos específicos de autorización para asegurar la calidad y
transparencia en la consolidación y publicación de datos; e introduce normas
técnicas detalladas para la autorización inicial, procedimientos de supervisión
y los mecanismos de reporte regulatorio ante la autoridad competente.
El
ámbito de aplicación del Reglamento es el Espacio Económico Europeo (EEE) y
está orientado a reforzar la integridad, la transparencia y la supervisión de
los mercados financieros mediante nuevos principios de autorización y
organización para entidades clave del sector.
En
conclusión el Reglamento expresa al contenido esencial y el alcance de la norma
en materia de requisitos técnicos, gobernanza y supervisión aplicables en la UE
a los agentes de publicación, sistemas autorizados y proveedores de información
financiera consolidada.
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com
_________________________________________________________
 | Diario Oficial | ES Serie L |
2025/1143 | 3.11.2025 |
REGLAMENTO DELEGADO (UE) 2025/1143 DE LA COMISIÓN
de 12 de junio de 2025
por el que se completa el Reglamento (UE) n.o 600/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación relativas a los requisitos de autorización y de organización aplicables a los agentes de publicación autorizados y los sistemas de información autorizados, así como los requisitos de autorización aplicables a los proveedores de información consolidada, y por el que se deroga el Reglamento Delegado (UE) 2017/571 de la Comisión
(Texto pertinente a efectos del EEE)
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 600/2014 del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativo a los mercados de instrumentos financieros y por el que se modifica el Reglamento (UE) n.o 648/2012 (1), y en particular su artículo 27 quinquies, apartado 4, párrafo segundo, su artículo 27 quinquies ter, apartado 7, párrafo tercero, su artículo 27 octies, apartado 6, párrafo segundo, su artículo 27 octies, apartado 8, párrafo segundo, y su artículo 27 decies, apartado 5, párrafo segundo,
Considerando lo siguiente:
(1) | El artículo 2, apartado 1, punto 36 bis, del Reglamento (UE) n.o 600/2014 define a los proveedores de servicios de suministro de datos (PSSD) como agentes de publicación autorizados (APA), sistemas de información autorizados (SIA) y proveedores de información consolidada (PIC). Aunque estos tipos de entidades realizan diferentes actividades de comunicación de datos, el Reglamento (UE) n.o 600/2014 y el Reglamento Delegado (UE) 2017/571 de la Comisión (2) establecieron un procedimiento de autorización similar. El Reglamento (UE) 2024/791 del Parlamento Europeo y del Consejo (3) modificó el Reglamento (UE) n.o 600/2014 para introducir una distinción entre el procedimiento de autorización de los APA y los SIA, por una parte, y el procedimiento de autorización de los PIC, por otra. Asimismo, el Reglamento (UE) 2024/791 ha modificado los requisitos de organización aplicables a los PIC. Además, a partir de 2025, los PSSD deberán cumplir el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (4). Para reflejar estos cambios, procede derogar el Reglamento Delegado (UE) 2017/571 y sustituirlo por un nuevo Reglamento. |
(2) | A fin de que la Autoridad Europea de Valores y Mercados (AEVM) o, en su caso, la autoridad nacional competente, pueda evaluar si el APA o el SIA dispone de recursos humanos suficientes y de supervisión de sus actividades, la estructura organizativa a que se refiere el artículo 27 quinquies, apartado 1, del Reglamento (UE) n.o 600/2014 debe indicar quién es responsable de las diferentes actividades de dicho APA o SIA. Para identificar los ámbitos que puedan afectar a la independencia del APA o del SIA y dar lugar a un conflicto de intereses, la estructura organizativa no solo debe cubrir el ámbito de los servicios de suministro de datos prestados por el APA o el SIA, sino también cualquier otro servicio que preste el APA o el SIA. Con objeto de que las autoridades competentes puedan evaluar si las políticas, los procedimientos y la estructura de gobierno corporativo garantizan la independencia del APA o el SIA y la prevención de conflictos de intereses, el solicitante que pretenda ser autorizado en calidad de APA o SIA también debe facilitar información sobre la composición, el funcionamiento y la independencia de sus órganos de dirección. |
(3) | Pueden surgir conflictos de intereses entre los APA o los SIA, por una parte, y los clientes que utilicen sus servicios para cumplir sus obligaciones reglamentarias y otras entidades que adquieran datos a los APA o los SIA, por otra. Estos conflictos pueden surgir, en particular, cuando el APA o el SIA se dediquen a otras actividades, incluida la actuación como organismo rector del mercado, empresa de servicios de inversión o registro de operaciones. Un conflicto de intereses no resuelto podría incentivar a los APA o los SIA a retrasar la publicación o la presentación de datos o a negociar sobre la base de la información confidencial que hayan recibido. Por consiguiente, los APA y los SIA deben aplicar y mantener mecanismos administrativos eficaces para detectar, prevenir y gestionar los conflictos de intereses existentes y potenciales, en particular elaborando un inventario de conflictos de intereses y aplicando políticas y procedimientos adecuados para gestionar dichos conflictos y, en caso necesario, separando las funciones empresariales y el personal para limitar el flujo de información delicada entre los diferentes sectores de actividad. |
(4) | A fin de garantizar que todos los miembros del órgano de dirección de un APA o un SIA gozan de la honorabilidad suficiente, tienen los conocimientos, las capacidades y la experiencia suficientes y dedican tiempo suficiente al desempeño de sus funciones, tal como exige el artículo 27 septies del Reglamento (UE) n.o 600/2014, los APA y los SIA deben poder demostrar que disponen de un proceso sólido para designar y evaluar el desempeño de los miembros del órgano de dirección y que existen líneas de información claras e informes periódicos al órgano de dirección. |
(5) | El entorno de control interno de los APA y los SIA es una parte esencial de su estructura organizativa, tal como se contempla en el artículo 27 quinquies, apartado 1, del Reglamento (UE) n.o 600/2014. Para que la AEVM o, en su caso, la autoridad nacional competente puedan evaluar si los APA y los SIA han adoptado todas las medidas necesarias para cumplir sus obligaciones en el momento de la autorización inicial, los APA y los SIA solicitantes deben presentar a su autoridad competente información sobre su entorno de control interno, incluida información relativa a sus funciones de control interno, cumplimiento, gestión de riesgos y auditoría interna. |
(6) | Los APA y los SIA entran en el ámbito de aplicación del Reglamento (UE) 2022/2554 y, por tanto, están sujetos a los requisitos de resiliencia operativa digital incluidos en dicho reglamento. Por consiguiente, un APA o un SIA solicitante debe demostrar a la AEVM o, en su caso, a la autoridad nacional competente, el cumplimiento de todas las obligaciones aplicables en virtud de dicho Reglamento. Los APA o SIA solicitantes deben demostrar el cumplimiento, en particular, de las obligaciones en los ámbitos de la gestión de riesgos de las tecnologías de la información y la comunicación (TIC), la gestión de riesgos de terceros en el ámbito de las TIC, los dispositivos de continuidad de la actividad y de respaldo, la realización de pruebas y la capacidad, la seguridad y la notificación de incidentes. |
(7) | Los APA y los SIA deben supervisar que los datos que publican o presentan son exactos y completos. También deben asegurarse de que disponen de mecanismos para detectar errores u omisiones causados por los clientes o por ellos mismos. Para los SIA, estos casos pueden incluir cotejos de una muestra de los datos presentados al SIA por una empresa de servicios de inversión o generados por el SIA en nombre de la empresa de servicios de inversión con los datos correspondientes facilitados por la autoridad competente. La frecuencia y el alcance de tales cotejos deben ser proporcionados al volumen de datos tratados por los SIA y a la medida en que generen comunicaciones de operaciones a partir de datos de los clientes o transmitan comunicaciones de operaciones cumplimentadas por los clientes. A fin de garantizar una notificación puntual y sin errores u omisiones, los SIA deben supervisar permanentemente el funcionamiento de sus sistemas. |
(8) | Un SIA que cause un error u omisión debe corregirlo sin demora. En este caso, dicho SIA también debe notificar a la AEVM o, en su caso, a la autoridad nacional competente y a cualquier autoridad competente a la que presenten informes, dicho error u omisión y su corrección. Para que un cliente pueda adaptar sus registros internos a la información que el SIA haya presentado a la autoridad competente en nombre del cliente, los SIA también deben notificar a sus clientes los detalles del error u omisión y facilitarles una comunicación de operaciones actualizada. |
(9) | Los APA deben poder suprimir y modificar la información recibida de una empresa de servicios de inversión que presente un informe de negociación cuando esta experimente dificultades técnicas y no pueda suprimir o modificar la información por sí misma. Sin embargo, dado que los APA no pueden tener la certeza de que un error u omisión percibido es realmente incorrecto, ya que no fueron parte en la operación ejecutada, los APA no deben ser responsables de corregir la información contenida en los informes publicados cuando el error u omisión sea atribuible a la empresa de servicios de inversión que presenta el informe de negociación. |
(10) | Para facilitar una comunicación fiable entre los APA y las empresas de servicios de inversión que presenten informes de negociación, particularmente en relación con anulaciones y modificaciones de determinadas operaciones, los APA deben incluir en los mensajes de confirmación destinados a dichas empresas de servicios de inversión el código de identificación de la operación asignado por el APA de que se trate al hacer pública esta información. |
(11) | Para cumplir su obligación de notificación en virtud del Reglamento (UE) n.o 600/2014, los SIA deben garantizar el flujo fluido de información hacia y desde una autoridad competente. Por tanto, los SIA deben ser capaces de demostrar que pueden cumplir las especificaciones técnicas fijadas por una autoridad competente en lo que respecta a la interfaz entre ellos y la autoridad competente. |
(12) | Con el fin de garantizar una difusión eficiente de la información de los APA y un fácil acceso y utilización de dicha información por los participantes en el mercado, la información debe publicarse en un formato de lectura mecánica a través de canales sólidos que permitan el acceso automático a dicha información. Es posible que los sitios web no siempre ofrezcan una arquitectura lo suficientemente sólida y escalable y que no siempre permitan un fácil acceso automático a los datos. Sin embargo, estas limitaciones tecnológicas pueden superarse en el futuro. Por lo tanto, no debe prescribirse una tecnología concreta. En su lugar, deben establecerse los criterios que debe cumplir la tecnología elegida. |
(13) | Para que la AEVM pueda evaluar si un solicitante de autorización como PIC ha adoptado, en el momento de la solicitud de autorización, todas las medidas necesarias para cumplir los criterios establecidos en el artículo 27 bis, apartado 2, del Reglamento (UE) n.o 600/2014, dicho solicitante debe, en su solicitud de autorización, facilitar un programa de actividades, un organigrama y un diagrama de las relaciones de propiedad. Para que la AEVM pueda evaluar si un solicitante de autorización como PIC dispone de suficientes recursos humanos y supervisión de su actividad, el organigrama debe indicar quién es responsable de las diferentes actividades. Además, para que la AEVM pueda identificar los ámbitos que puedan afectar a la independencia de un PIC y generar un conflicto de intereses, el organigrama debe cubrir no solo el alcance del servicio de información consolidada, sino también cualquier otro servicio que el PIC solicitante tenga la intención de prestar. Por último, para que la AEVM pueda evaluar si las políticas, los procedimientos y la estructura de gobierno corporativo garantizan la independencia del PIC y la prevención de conflictos de intereses, el solicitante que pretenda ser autorizado en calidad de PIC también debe facilitar información sobre la composición, el funcionamiento y la independencia de sus órganos de dirección y sobre su entorno de control interno. |
(14) | A fin de garantizar que todos los miembros del órgano de dirección de un PIC sean personas con la suficiente honorabilidad y conocimientos, capacidades y experiencia suficientes, un solicitante de autorización como PIC debe poder demostrar que dispone de un proceso sólido para designar y evaluar el desempeño de los miembros del órgano de dirección, y que existen líneas de información claras e informes periódicos al órgano de dirección. |
(15) | Pueden surgir conflictos de intereses entre el PIC, por una parte, y los contribuidores o usuarios de datos, por otra. Estos conflictos pueden surgir, en particular, cuando el PIC se dedique a otras actividades, incluida la actuación como organismo rector del mercado, empresa de servicios de inversión o registro de operaciones. Como parte de su gobierno corporativo de la empresa, un solicitante de autorización como PIC debe demostrar a la AEVM que ha establecido marcos adecuados para detectar, prevenir y gestionar los conflictos de intereses existentes y potenciales, en particular elaborando un inventario de conflictos de intereses y aplicando políticas y procedimientos adecuados para gestionar dichos conflictos y, en caso necesario, separando las funciones empresariales y el personal para limitar el flujo de información delicada entre los diferentes sectores de actividad del PIC. |
(16) | La externalización de actividades, en particular de funciones esenciales e importantes, puede constituir un cambio sustancial de las condiciones para la autorización de un PIC. Para garantizar que la externalización de actividades no menoscabe la capacidad del PIC de cumplir sus obligaciones en virtud del Reglamento (UE) n.o 600/2014 ni dé lugar a conflictos de intereses, el PIC debe poder demostrar una supervisión y un control suficientes de dichas actividades. |
(17) | Los PIC entran en el ámbito de aplicación del Reglamento (UE) 2022/2554 y, por tanto, están sujetos a los requisitos de resiliencia operativa digital establecidos en dicho reglamento. Por consiguiente, en su solicitud de autorización, los solicitantes de autorización como PIC deben ofrecer garantías de que cumplen los requisitos aplicables establecidos en dicho Reglamento. |
(18) | El solicitante de una autorización como PIC debe demostrar que sus sistemas son capaces de absorber datos de centros de negociación y APA y de consolidar y publicar dicha información sin perturbaciones. También debe demostrar su capacidad para consolidar y publicar datos en consonancia con los requisitos establecidos en el Reglamento Delegado (UE) 2025/1155 de la Comisión (5). |
(19) | Para demostrar el nivel razonable de tarifas que un solicitante de autorización como PIC pretende cobrar a sus clientes, dicho solicitante debe facilitar a la AEVM la política de datos de mercado, incluida una explicación detallada de los modelos de concesión de licencias y el baremo de tarifas previsto de conformidad con el artículo 17 del Reglamento Delegado (UE) 2025/1156 de la Comisión (6). Los solicitantes de autorización como PIC para bonos deben revelar cualquier acuerdo para la redistribución de ingresos a los contribuidores de datos a que se refiere el artículo 27 nonies, apartado 5, del Reglamento (UE) n.o 600/2014. |
(20) | Para que la AEVM pueda comprender el consumo de energía generado por las actividades relacionadas con la recogida, el tratamiento y el almacenamiento de datos, un solicitante de autorización como PIC debe proporcionar el coeficiente de eficacia del uso de la energía previsto (PUE), tal como se define en las normas internacionales. |
(21) | Para que la AEVM pueda determinar si sus recursos combinados son esenciales para el funcionamiento del sistema de información consolidada, los solicitantes conjuntos a que se refiere el artículo 27 quinquies bis, apartado 2, letra n), del Reglamento (UE) n.o 600/2014 deben demostrar la necesidad, en términos de capacidad técnica y logística, de que cada solicitante gestione conjuntamente el sistema de información consolidada. |
(22) | La información presentada a las autoridades competentes contendrá información sobre la identidad de los miembros del órgano de dirección de un PSSD y sobre su idoneidad. Dicha información incluye datos personales. De conformidad con el principio de minimización de datos consagrado en el artículo 5, apartado 1, letra c), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (7), solo deben solicitarse los datos personales que sean necesarios para que la autoridad competente pueda evaluar la capacidad de los miembros del órgano de dirección de un PSSD para cumplir los requisitos establecidos en el Reglamento (UE) n.o 600/2014. El tratamiento de datos personales a efectos del presente Reglamento debe llevarse a cabo de conformidad con el Derecho de la Unión en materia de protección de datos personales. A ese respecto, toda operación de tratamiento de datos personales realizada por las autoridades nacionales competentes en aplicación del presente Reglamento debe llevarse a cabo de conformidad con el Reglamento (UE) 2016/679 y con los requisitos nacionales relativos a la protección de las personas físicas en lo que respecta al tratamiento de datos personales. Toda operación de tratamiento de datos personales realizada por la AEVM en aplicación del presente Reglamento debe llevarse a cabo de conformidad con el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (8). Para que las autoridades competentes puedan llevar a cabo la evaluación a efectos de la autorización inicial y la supervisión permanente, garantizando al mismo tiempo las salvaguardias adecuadas, los PSSD y las autoridades competentes deben conservar los datos personales relativos a la honorabilidad de un miembro del órgano de dirección durante un período no superior a cinco años después de que dicho miembro haya cesado en sus funciones. |
(23) | El presente Reglamento se basa en los proyectos de normas técnicas de regulación presentados por la AEVM a la Comisión. |
(24) | La AEVM ha llevado a cabo consultas públicas abiertas sobre los proyectos de normas técnicas de regulación en que se basa el presente Reglamento, ha analizado los costes y beneficios potenciales conexos y ha recabado el dictamen del Grupo de Partes Interesadas del Sector de los Valores y Mercados, establecido de conformidad con el artículo 37 del Reglamento (UE) n.o 1095/2010 del Parlamento Europeo y del Consejo (9). |
(25) | El Supervisor Europeo de Protección de Datos fue consultado de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 y emitió observaciones formales el 17 de marzo de 2025. |
(26) | Las normas técnicas de regulación que deben adoptarse sobre la base de las habilitaciones establecidas en los artículos 27 quinquies, apartado 4, 27 quinquies ter, apartado 7, 27 octies, apartados 6 y 8, y 27 decies, apartado 5, del Reglamento (UE) n.o 600/2014 deben agruparse en un único Reglamento Delegado de la Comisión para garantizar que todas las disposiciones que especifican las condiciones de autorización de los proveedores de servicios de suministro de datos se consoliden en un único Reglamento. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
CAPÍTULO I
REQUISITOS DE AUTORIZACIÓN Y DE ORGANIZACIÓN APLICABLES A LOS APA Y LOS SIA
SECCIÓN I
REQUISITOS DE AUTORIZACIÓN APLICABLES A LOS APA Y LOS SIA
[Artículo 27 quinquies, apartado 1, y artículo 27 septies, apartado 2, del Reglamento (UE) n.o 600/2014]
Artículo 1
Información a las autoridades competentes
[Artículo 27 quinquies, apartado 1, del Reglamento (UE) n.o 600/2014]
1. El solicitante de autorización para gestionar un APA o un SIA de conformidad con el artículo 27 quinquies del Reglamento (UE) n.o 600/2014 presentará a la AEVM o, en su caso, a la autoridad nacional competente la información establecida en los artículos 2 a 7, así como la información relativa a todos los requisitos de organización establecidos en la sección II del presente capítulo.
2. Los APA o SIA informarán sin demora a la AEVM o, en su caso, a la autoridad nacional competente de cualquier cambio significativo en la información facilitada en el momento de la autorización o posteriormente.
Artículo 2
Información sobre la organización
[Artículo 27 quinquies, apartado 1, del Reglamento (UE) n.o 600/2014]
1. El programa de actividades a que se refiere el artículo 27 quinquies, apartado 1, del Reglamento (UE) n.o 600/2014 comprenderá lo siguiente:
a) | información sobre la estructura organizativa del solicitante, incluidos un organigrama y una descripción de los recursos humanos, técnicos y jurídicos asignados a su actividad empresarial; |
b) | información sobre las políticas y procedimientos de separación operativa para garantizar la separación entre el APA o el SIA y cualquier otra actividad realizada por el solicitante; |
c) | información sobre las políticas y procedimientos en materia de conformidad del solicitante de autorización para gestionar un APA o un SIA, incluidos:
|
d) | una lista de todas las funciones externalizadas y los recursos asignados al control de las funciones externalizadas. |
2. El solicitante de autorización para gestionar un APA o un SIA de conformidad con el artículo 27 quinquies del Reglamento (UE) n.o 600/2014 que ofrezca servicios distintos de los servicios de suministro de datos describirá dichos servicios en el organigrama previsto en el apartado 1, letra a).
Artículo 3
Información sobre la propiedad
[Artículo 27 quinquies, apartado 1, del Reglamento (UE) n.o 600/2014]
1. El solicitante de autorización para gestionar un APA o un SIA de conformidad con el artículo 27 quinquies del Reglamento (UE) n.o 600/2014 incluirá en su solicitud de autorización:
a) | una lista con el nombre de las personas o entidades que posean, directa o indirectamente, al menos el 10 % del capital o los derechos de voto del solicitante, o cuya participación les permita ejercer una influencia notable en la gestión del solicitante; |
b) | una lista de todas las empresas en las que alguna de las personas o entidades contempladas en la letra a) posea al menos el 10 % del capital o de los derechos de voto o sobre las cuales esa persona o entidad ejerza una influencia notable; |
c) | un diagrama que muestre las relaciones de propiedad entre la empresa matriz, cualesquiera filiales y cualesquiera otras entidades asociadas o sucursales. |
2. Las empresas que aparezcan en el diagrama mencionado en el apartado 1, letra c), deberán identificarse mediante su nombre completo, su estatuto jurídico y su domicilio social.
Artículo 4
Información sobre el gobierno corporativo de la empresa
[Artículo 27 quinquies, apartado 1, del Reglamento (UE) n.o 600/2014]
1. Los solicitantes que pretendan obtener autorización para gestionar un APA o un SIA de conformidad con el artículo 27 quinquies del Reglamento (UE) n.o 600/2014 deberán incluir, en su solicitud de autorización, información sobre las políticas internas en materia de gobierno corporativo de la empresa y los procedimientos por los que se rijan su órgano de dirección, su alta dirección y, en su caso, los comités.
2. La información contemplada en el apartado 1 incluirá:
a) | una descripción de los procesos de selección, designación, evaluación del desempeño y destitución de la alta dirección y de los miembros del órgano de dirección; |
b) | una descripción de las líneas jerárquicas e indicación de la frecuencia con la que debe presentarse información a la alta dirección y al órgano de dirección; |
c) | una descripción de las políticas y procedimientos relativos al acceso a los documentos por parte de los miembros del órgano de dirección. |
Artículo 5
Información sobre los miembros del órgano de dirección
[Artículo 27 septies, apartado 2, del Reglamento (UE) n.o 600/2014]
1. El solicitante de autorización para gestionar un APA o un SIA de conformidad con el artículo 27 quinquies del Reglamento (UE) n.o 600/2014 incluirá en su solicitud de autorización la siguiente información en relación con cada miembro del órgano de dirección:
a) | nombre, fecha y lugar de nacimiento, número nacional de identificación personal o equivalente, dirección y datos de contacto; |
b) | el cargo para el que dicho miembro ha sido o será designado; |
c) | un curriculum vitae que acredite la experiencia y conocimientos suficientes para ejercer debidamente las responsabilidades otorgadas; |
d) | prueba de la ausencia de antecedentes penales en relación con el blanqueo de capitales, la financiación del terrorismo, la prestación de servicios financieros o de datos o actos de fraude o malversación, en particular mediante un certificado oficial o, en caso de que dicho certificado no esté disponible en el Estado miembro de que se trate, una autodeclaración de honorabilidad y la autorización a la AEVM o, en su caso, a la autoridad nacional competente para solicitar información sobre si dicho miembro ha sido declarado culpable de algún delito penal en relación con el blanqueo de capitales, la financiación del terrorismo, la prestación de servicios financieros o servicios de datos o en relación con actos de fraude o malversación; |
e) | una autodeclaración de honorabilidad y la autorización a la AEVM o, en su caso, a la autoridad nacional competente, para solicitar información sobre si dicho miembro:
|
f) | una indicación del tiempo mínimo que dedicará al desempeño de sus funciones como miembro en el APA o el SIA; |
g) | una declaración de los posibles conflictos de intereses que puedan existir o surgir en el desempeño de las funciones y el modo en que se gestionan dichos conflictos. |
2. La información establecida en el apartado 1 también se incluirá en las notificaciones a que se refiere el artículo 27 septies, apartado 2, del Reglamento (UE) n.o 600/2014 en lo que respecta a los APA y los SIA. Los APA o SIA notificarán por vía electrónica a la AEVM o, en su caso, a su autoridad nacional competente, cualquier cambio en la composición de su órgano de dirección antes de que surta efecto dicha modificación.
Cuando, por motivos justificados, no sea posible realizar la notificación antes de que el cambio surta efecto, se efectuará en los diez días hábiles siguientes a la fecha en que haya tenido lugar el cambio.
3. Los APA o SIA registrarán la información a que se refiere el apartado 1 en un soporte que permita su almacenamiento de manera que se garantice que la información sea accesible para futuras referencias y que permita la reproducción sin cambios de la información almacenada. Los APA o SIA mantendrán dicha información actualizada.
4. Los APA o SIA conservarán la información establecida en el apartado 1, letras d) y e), durante un período no superior a cinco años después de que el miembro de que se trate haya cesado en sus funciones.
5. Cuando la prueba a que se refiere el apartado 1, letra d) contenga información sobre condenas penales distintas de las enumeradas en dicha disposición, los APA o SIA garantizarán que solo las personas responsables de la evaluación de la idoneidad de los posibles miembros del órgano de dirección tengan acceso a estas información. Esta información se conservará por separado de otra información relativa a los miembros del órgano de dirección. Se mantendrán registros del acceso a dicha información. No se almacenará esta información cuando se refiera a candidatos a un puesto como miembros del órgano de dirección que no hayan sido designados.
6. La AEVM o, en su caso, a la autoridad nacional competente, conservará la información establecida en el apartado 1, letras d) y e), durante un período no superior a cinco años después de que el miembro de que se trate del órgano de dirección haya cesado en sus funciones.
Artículo 6
Información sobre los controles internos
[Artículo 27 quinquies, apartado 1, del Reglamento (UE) n.o 600/2014]
1. El solicitante de autorización para gestionar un APA o un SIA de conformidad con el artículo 27 quinquies del Reglamento (UE) n.o 600/2014 incluirá en su solicitud de autorización información detallada sobre su entorno de control interno. Esto incluirá información relativa a su función de control interno, su función de verificación del cumplimiento, su gestión de riesgos y su función de auditoría interna.
2. La información pormenorizada a la que se refiere el apartado 1 incluirá:
a) | un resumen de la organización de las funciones de control interno, gestión de riesgos, cumplimiento normativo y auditoría interna del solicitante, incluso cuando dichas funciones se externalicen; |
b) | una evaluación de los principales riesgos que puedan surgir en el funcionamiento del APA o del SIA; |
c) | las políticas de control interno del solicitante y sus procedimientos para garantizar la aplicación coherente y eficaz de dichas políticas; |
d) | las políticas, procedimientos y manuales relativos a la supervisión y evaluación de la adecuación y eficacia de los sistemas del solicitante; |
e) | las políticas, procedimientos y manuales relativos al control y la protección de los sistemas de tratamiento de información del solicitante; |
f) | la identidad de los órganos internos encargados de evaluar las constataciones resultantes de la realización del control interno y de decidir sobre sus resultados. |
3. Con respecto a la función de auditoría interna del solicitante, la información detallada a que se refiere el apartado 1 incluirá lo siguiente:
a) | información sobre la adhesión del solicitante a las normas profesionales nacionales o internacionales; |
b) | toda carta de funciones de auditoría interna, metodologías y procedimientos; |
c) | una explicación de la forma en que se elabora y aplica, en su caso, la metodología de auditoría interna, teniendo en cuenta la naturaleza de las actividades, la complejidad y los riesgos del solicitante; |
d) | cuando exista un comité de auditoría interna:
|
Artículo 7
Información sobre la resiliencia operativa digital
[Artículo 27 quinquies, apartado 1, del Reglamento (UE) n.o 600/2014]
1. El solicitante de autorización para gestionar un APA o un SIA de conformidad con el artículo 27 quinquies del Reglamento (UE) n.o 600/2014 incluirá en su solicitud de autorización pruebas del cumplimiento de los requisitos sobre organización y capacidades de gestión del riesgo de TIC, estrategia y pruebas de resiliencia operativa, gestión de incidentes y gestión del riesgo relacionado con las TIC por terceros en virtud del Reglamento (UE) 2022/2554.
2. La información a que se refiere el apartado 1 incluirá documentos relativos a los mecanismos del solicitante, de conformidad con el Reglamento (UE) 2022/2554, sobre:
a) | gestión del riesgo relacionado con las TIC; |
b) | gestión de incidentes relacionados con las TIC; |
c) | pruebas de resiliencia operativa digital; |
d) | seguimiento del riesgo de terceros relacionado con las TIC. |
3. A efectos de la información contemplada en el apartado 1, se tendrán en cuenta el tamaño y el perfil de riesgo global, así como la naturaleza, escala y complejidad de los servicios, actividades y operaciones del solicitante.
SECCIÓN II
REQUISITOS DE ORGANIZACIÓN APLICABLES A LOS APA Y LOS SIA
[Artículo 27 octies, apartados 1, 3 y 5, artículo 27 decies, apartados 2 y 4, del Reglamento (UE) n.o 600/2014]
Artículo 8
Conflictos de intereses
[Artículo 27 octies, apartado 3, y artículo 27 decies, apartado 2, del Reglamento (UE) n.o 600/2014]
1. Los APA o SIA deberán aplicar y mantener medidas administrativas eficaces concebidas para evitar conflictos de intereses con los clientes que utilicen sus servicios para satisfacer sus obligaciones reglamentarias y otras entidades que adquieran datos a los APA o SIA. Dichas medidas deberán incluir políticas y procedimientos para detectar, gestionar y revelar conflictos de intereses reales y potenciales y constar de los siguientes elementos:
a) | un inventario de los conflictos de intereses reales y potenciales, en el que se expondrán su descripción, identificación, prevención, gestión y divulgación; |
b) | la separación de las tareas y funciones comerciales dentro del APA o SIA, que incluya:
|
c) | una descripción de la política de tarifas para determinar las tarifas aplicadas por el APA o SIA y las empresas con las que este mantenga vínculos estrechos; |
d) | una descripción de la política de remuneración de los miembros del órgano de dirección y de la alta dirección; |
e) | las normas relativas a la aceptación de dinero, obsequios o favores por parte del personal del APA o SIA y su órgano de dirección. |
2. El inventario de los conflictos de intereses a que se refiere el apartado 1, letra a), deberá incluir los conflictos de intereses derivados de situaciones en las que el APA o SIA:
a) | pueda obtener una ganancia financiera, o evitar una pérdida financiera, en detrimento del cliente; |
b) | pueda tener un interés en el resultado de un servicio prestado a un cliente que sea distinto del interés del cliente en tal resultado; |
c) | pueda tener un incentivo para dar prioridad a sus propios intereses o los intereses de otro cliente o grupo de clientes frente a los intereses del cliente al que se preste el servicio; |
d) | reciba o pueda recibir de cualquier persona distinta de un cliente, en relación con el servicio prestado a un cliente, un incentivo, en forma de dinero, bienes o servicios, distintos de la comisión o los gastos cobrados por el servicio. |
Artículo 9
Requisitos de organización relativos a la externalización
[Artículo 27 octies, apartado 3, y artículo 27 decies, apartado 2, del Reglamento (UE) n.o 600/2014]
1. Los APA o SIA que dispongan que proveedores de servicios terceros lleven a cabo determinadas actividades en su nombre, incluidas empresas con las que mantenga vínculos estrechos, deberán asegurarse de que el proveedor de servicios tercero disponga de la competencia y la capacidad para desarrollar dichas actividades de forma fiable y profesional.
Los APA o SIA deberán especificar qué actividades van a externalizarse, indicando los recursos humanos y técnicos necesarios para la realización de cada una de las actividades.
2. Los APA o SIA que externalicen actividades deberán asegurarse de que la externalización no reduzca su competencia o capacidad para desempeñar las funciones de la alta dirección o del órgano de dirección.
3. Los APA o SIA seguirán siendo responsables de cualquier actividad externalizada y adoptarán medidas organizativas para garantizar:
a) | que evalúen si el proveedor de servicios tercero lleva a cabo las actividades externalizadas con eficacia y de conformidad con las disposiciones legales y los requisitos reglamentarios aplicables y subsana adecuadamente las deficiencias detectadas; |
b) | la identificación de los riesgos en relación con las actividades externalizadas y una adecuada supervisión periódica; |
c) | la existencia de procedimientos de control adecuados en relación con las actividades externalizadas, incluida la supervisión efectiva de las actividades y sus riesgos en el seno del APA o SIA; |
d) | la continuidad operativa adecuada de las actividades externalizadas. |
A efectos de la letra d), los APA o SIA deberán obtener información sobre los dispositivos de continuidad operativa del proveedor de servicios tercero, evaluar su calidad y, en caso necesario, solicitar mejoras.
4. Los APA o SIA velarán por que el proveedor de servicios tercero coopere con la AEVM o, en su caso, con la autoridad nacional competente, en relación con las actividades externalizadas.
5. Cuando un APA o un SIA externalice una función esencial o importante, proporcionará a la AEVM o, en su caso, a la autoridad nacional competente:
a) | la identificación del proveedor tercero de servicios; |
b) | las medidas organizativas en materia de externalización y los riesgos que plantea la misma, tal como se especifica en el apartado 3; |
c) | informes internos o externos relativos a las actividades externalizadas. |
Artículo 10
Gestión de información incompleta o potencialmente errónea por parte de los APA
[Artículo 27 octies, apartado 5, del Reglamento (UE) n.o 600/2014]
1. Los APA deberán establecer y mantener mecanismos adecuados para garantizar que publican con exactitud los informes de negociación recibidos de las empresas de servicios de inversión sin introducir ellos mismos ningún error ni omitir información, y deberán corregir la información cuando ellos hayan sido los causantes del error u omisión.
2. Los APA deberán supervisar de forma permanente y en tiempo real el funcionamiento de sus sistemas informáticos, asegurándose de que los informes de negociación que han recibido se han publicado correctamente.
3. Los APA deberán efectuar cotejos periódicos entre los informes de negociación que reciben y los que publican, verificando la correcta publicación de la información.
4. Los APA deberán acusar recibo del informe de negociación a la empresa de servicios de inversión declarante, indicando el código de identificación de la operación asignado por el APA. Los APA deberán hacer referencia al código de identificación de la operación en toda ulterior comunicación con la empresa declarante en relación con un informe de negociación específico.
5. Los APA deberán establecer y mantener mecanismos adecuados para detectar, en el momento de su recepción, los informes de negociación que estén incompletos o contengan información que probablemente sea errónea. Estos mecanismos deberán incluir alertas automatizadas de precios y volúmenes, que tengan en cuenta:
a) | el sector y el segmento en el que se negocie el instrumento financiero; |
b) | los niveles de liquidez, incluidos los niveles históricos de negociación; |
c) | valores de referencia adecuados en materia de precios y volúmenes; |
d) | si procede, otros parámetros en función de las características del instrumento financiero. |
6. Cuando un APA constate que un informe de negociación que ha recibido está incompleto o contiene información probablemente errónea, no lo publicará y alertará sin demora a la empresa de servicios de inversión que lo haya presentado.
7. En circunstancias excepcionales, los APA deberán suprimir y modificar información que figure en un informe de negociación, previa solicitud de la entidad que proporciona la información, cuando dicha entidad no pueda suprimir o modificar su propia información por razones técnicas.
8. Los APA deberán publicar políticas no discrecionales en materia de anulación y modificación de la información de los informes de negociación que establezcan las sanciones que pueden imponer a las empresas de servicios de inversión que hayan presentado informes de negociación cuyas informaciones incompletas o erróneas hayan conducido a la anulación o modificación de dichos informes.
Artículo 11
Gestión de información incompleta o potencialmente errónea por parte de los SIA
[Artículo 27 decies, apartado 4, del Reglamento (UE) n.o 600/2014]
1. Los SIA deberán establecer y mantener mecanismos adecuados para identificar los informes de operaciones que estén incompletos o contengan errores manifiestos causados por los clientes. Los SIA deberán llevar a cabo la validación de las comunicaciones de operaciones respecto a los requisitos establecidos en el artículo 26 del Reglamento (UE) n.o 600/2014 en lo que respecta al campo, formato y contenido de los campos, de conformidad con el cuadro 1 del anexo I del Reglamento Delegado (UE) 2017/590 de la Comisión (10).
2. Los SIA deberán establecer y mantener mecanismos adecuados para detectar las comunicaciones de operaciones que contengan errores u omisiones causados por ellos mismos, y corregir, incluso suprimiendo o modificando, dichos errores u omisiones. Los SIA deberán llevar a cabo la validación en lo que respecta al campo, formato y contenido de los campos de conformidad con el cuadro 2 del anexo I del Reglamento Delegado (UE) 2017/590.
3. Los SIA deberán supervisar de forma permanente en tiempo real el funcionamiento de sus sistemas, asegurándose de que toda comunicación de operaciones que reciban haya sido comunicada correctamente a la autoridad competente, de conformidad con el artículo 26 del Reglamento (UE) n.o 600/2014.
4. Los SIA deberán cotejar de forma periódica, a petición de la AEVM o, en su caso, de la autoridad nacional competente o las autoridades competentes a las que los SIA presenten comunicaciones de operaciones, la información que reciben de su cliente o generan por cuenta del cliente a efectos de comunicación de las operaciones con muestras de datos extraídas de la información proporcionada por la autoridad competente.
5. Cualesquiera correcciones, incluidas las anulaciones o modificaciones de las comunicaciones de operaciones, que no subsanen errores u omisiones ocasionados por los SIA, se harán exclusivamente a petición de un cliente y respecto de una comunicación de operaciones individual. Cuando un SIA anule o modifique una comunicación de operaciones a petición de un cliente, deberá facilitarle la comunicación de operaciones actualizada.
6. Cuando, antes de presentar la comunicación de operaciones, los SIA detecten un error u omisión causados por un cliente, no deberán remitirla y comunicarán sin demora a la empresa de servicios de inversión los pormenores del error u omisión para que el cliente pueda presentar los datos corregidos.
7. Cuando los SIA tengan conocimiento de errores u omisiones causados por ellos mismos, presentarán sin demora una comunicación completa y correcta.
8. Los SIA deberán notificar sin demora al cliente los pormenores del error u omisión y proporcionarle una comunicación de operaciones actualizada. Los SIA también notificarán sin demora el error u omisión a la AEVM o, en su caso, a la autoridad nacional competente, y a la autoridad competente a la que el SIA haya presentado la comunicación de operaciones.
9. La obligación de corregir o anular las comunicaciones de operaciones erróneas o de señalar las operaciones omitidas no afectará a los errores u omisiones que tuvieran lugar más de cinco años antes de la fecha en la que los SIA tuvieran conocimiento de tales errores u omisiones.
Artículo 12
Conectividad de los SIA
[Artículo 27 decies, apartado 4, del Reglamento (UE) n.o 600/2014]
1. Los SIA deberán contar con políticas, mecanismos y capacidades técnicas para cumplir las especificaciones técnicas relativas a la presentación de comunicaciones de operaciones exigidas por la AEVM o, en su caso, por la autoridad nacional competente y por otras autoridades competentes a las que los SIA envíen comunicaciones de operaciones.
2. Los SIA deberán contar con políticas, mecanismos y capacidades técnicas adecuados para recibir comunicaciones de operaciones de sus clientes y transmitirles información. Los SIA deberán proporcionar al cliente una copia de la comunicación de operaciones que hayan remitido a la autoridad competente en nombre del cliente.
Artículo 13
Requisitos de legibilidad por máquina aplicables a los APA
[Artículo 27 octies, apartado 1, del Reglamento (UE) n.o 600/2014]
1. Los APA publicarán la información de conformidad con el artículo 27 octies, apartado 1, del Reglamento (UE) n.o 600/2014 de manera legible por máquina.
2. La información solo se considerará publicada en una forma legible mecánicamente si se cumplen todas las condiciones siguientes:
a) | se presenta en un formato de archivo estructurado de manera que las aplicaciones informáticas puedan detectar, reconocer y extraer fácilmente datos específicos; |
b) | se encuentra almacenada en una arquitectura informática apropiada que permite el acceso automático; |
c) | es lo bastante sólida para garantizar la continuidad y regularidad de los servicios prestados y es posible acceder a ella con la adecuada rapidez; |
d) | puede accederse a ella, ser leída, utilizada y copiada por programas informáticos que sean gratuitos y de libre acceso. |
A efectos del párrafo primero, letra a), el formato de archivo deberá especificarse mediante normas gratuitas, abiertas y de dominio público. El formato de archivo incluirá el tipo de archivos o mensajes, las normas para su identificación, y el nombre y tipo de datos de los campos que contienen.
3. Los APA deberán:
a) | poner a disposición del público instrucciones en las que se explique cómo y dónde acceder a los datos y utilizarlos con facilidad, incluida la identificación del formato de archivo; |
b) | hacer público cualquier cambio en las instrucciones a que se refiere la letra a) como mínimo tres meses antes de su entrada en vigor, a menos que haya una necesidad urgente y debidamente justificada de que los cambios en las instrucciones entren en vigor con mayor rapidez; |
c) | incluir en la página de entrada de su sitio web un enlace a las instrucciones contempladas en la letra a). |
Artículo 14
Datos de las operaciones que deben publicar los APA
[Artículo 27 octies, apartado 2, del Reglamento (UE) n.o 600/2014]
Los APA deberán publicar:
a) | en cuanto a las operaciones ejecutadas por lo que respecta a acciones, recibos de depositario, fondos cotizados, certificados y demás instrumentos financieros similares, los pormenores de la operación especificados en el cuadro 3 del anexo I del Reglamento Delegado (UE) 2017/587 de la Comisión (11) y deberán utilizar los indicadores adecuados que figuran en el cuadro 4 del anexo I del Reglamento Delegado (UE) 2017/587; |
b) | en cuanto a las operaciones ejecutadas por lo que respecta a bonos, productos de titulización, derechos de emisión y derivados, los pormenores de la operación especificados en el cuadro 2 del anexo II del Reglamento Delegado (UE)2017/583 de la Comisión (12) y deberán utilizar los indicadores que figuran en el cuadro 3 del anexo II del Reglamento Delegado (UE) 2017/583. |
CAPÍTULO II
REQUISITOS DE AUTORIZACIÓN APLICABLES A LOS PIC
Artículo 15
Información a la AEVM
[Artículo 27 quinquies ter, apartado 1, y artículo 27 septies, apartado 2, del Reglamento (UE) n.o 600/2014]
1. El solicitante de autorización para gestionar un sistema de información consolidada de conformidad con el artículo 27 quinquies ter del Reglamento (UE) n.o 600/2014 presentará a la AEVM la información establecida en los artículos 16 a 29.
2. Los PIC informarán sin demora a la AEVM de cualquier cambio significativo en la información facilitada en el momento de la autorización o posteriormente.
Artículo 16
Información sobre la propiedad
[Artículo 27 quinquies bis, apartado 2, letra d), del Reglamento (UE) n.o 600/2014]
1. El solicitante de autorización para gestionar un sistema de información consolidada de conformidad con el artículo 27 quinquies ter del Reglamento (UE) n.o 600/2014 incluirá en su solicitud de autorización:
a) | una lista con el nombre de las personas o entidades que posean, directa o indirectamente, al menos el 10 % del capital o los derechos de voto del solicitante, o cuya participación les permita ejercer una influencia notable en la gestión del solicitante; |
b) | una lista de todas las empresas en las que alguna de las personas o entidades contempladas en la letra a) posea al menos el 10 % del capital o de los derechos de voto o sobre las cuales esa persona o entidad ejerza una influencia notable; |
c) | un diagrama que muestre las relaciones de propiedad entre la empresa matriz, cualesquiera filiales y cualesquiera otras entidades asociadas o sucursales. |
2. Las empresas mencionadas en el diagrama a que se refiere el apartado 1, letra c), deberán identificarse mediante su nombre completo, su estatuto jurídico y su domicilio social.
Artículo 17
Información sobre la organización
[Artículo 27 quinquies bis, apartado 2, letra d), del Reglamento (UE) n.o 600/2014]
1. El solicitante de autorización para gestionar un sistema de información consolidada de conformidad con el artículo 27 quinquies ter del Reglamento (UE) n.o 600/2014 incluirá en su solicitud de autorización la siguiente información sobre la organización:
a) | información sobre la estructura organizativa del solicitante, incluidos un organigrama y una descripción de los recursos humanos, técnicos y jurídicos asignados a su actividad empresarial; |
b) | información sobre las políticas y procedimientos de separación operativa para garantizar la separación entre el PIC y cualquier otra actividad realizada por el solicitante; |
c) | información relativa a las políticas y procedimientos en materia de conformidad del PIC, que incluya:
|
d) | una lista de todas las funciones externalizadas y los recursos asignados al control de las funciones externalizadas. |
2. Un PIC que ofrezca servicios distintos de los servicios de suministro de datos describirá dichos servicios en el organigrama previsto en el apartado 1, letra a).
Artículo 18
Información sobre el gobierno corporativo de la empresa
[Artículo 27 quinquies bis, apartado 2, letra d), del Reglamento (UE) n.o 600/2014]
1. Los solicitantes que pretendan obtener autorización para gestionar un PIC de conformidad con el artículo 27 quinquies ter del Reglamento (UE) n.o 600/2014 deberán incluir, en su solicitud de autorización, información sobre las políticas internas en materia de gobierno corporativo de la empresa y los procedimientos por los que se rijan su órgano de dirección, su alta dirección y, en su caso, los comités.
2. La información contemplada en el apartado 1 incluirá:
a) | una descripción de los procesos de selección, designación, evaluación del desempeño y destitución de la alta dirección y de los miembros del órgano de dirección; |
b) | una descripción de las líneas jerárquicas e indicación de la frecuencia con la que debe presentarse información a la alta dirección y al órgano de dirección; |
c) | una descripción de las políticas y procedimientos relativos al acceso a los documentos por parte de los miembros del órgano de dirección. |
Artículo 19
Información sobre los miembros del órgano de dirección
[Artículo 27 quinquies bis, apartado 2, letra d), y artículo 27 septies, apartado 2, del Reglamento (UE) n.o 600/2014]
1. El solicitante de autorización para gestionar un sistema de información consolidada de conformidad con el artículo 27 quinquies ter del Reglamento (UE) n.o 600/2014 incluirá en su solicitud de autorización la siguiente información en relación con cada miembro del órgano de dirección:
a) | nombre, fecha y lugar de nacimiento, número nacional de identificación personal u otro equivalente, dirección y datos de contacto; |
b) | el cargo para el que dicho miembro ha sido o será designado; |
c) | un curriculum vitae que acredite la experiencia y conocimientos suficientes para ejercer debidamente las responsabilidades otorgadas; |
d) | prueba de la ausencia de antecedentes penales en relación con el blanqueo de capitales, la financiación del terrorismo, la prestación de servicios financieros o de datos o actos de fraude o malversación, en particular mediante un certificado oficial o, en caso de que dicho certificado no esté disponible en el Estado miembro de que se trate, una autodeclaración de honorabilidad y la autorización a la AEVM para solicitar información sobre si dicho miembro ha sido declarado culpable de algún delito penal en relación con el blanqueo de capitales, la financiación del terrorismo, la prestación de servicios financieros o servicios de datos o en relación con actos de fraude o malversación; |
e) | una autodeclaración de honorabilidad y la autorización a la AEVM para solicitar información sobre si dicho miembro:
|
f) | una indicación del tiempo mínimo que dedicará al desempeño de sus funciones como miembro en el PIC; |
g) | una declaración de los posibles conflictos de intereses que puedan existir o surgir en el desempeño de las funciones y el modo en que se gestionan dichos conflictos. |
2. La información establecida en el apartado 1 también se incluirá en las notificaciones a que se refiere el artículo 27 septies, apartado 2, del Reglamento (UE) n.o 600/2014 en lo que respecta a los PIC. Los PIC notificarán por vía electrónica a la AEVM cualquier cambio en la composición de su órgano de dirección antes de que surta efecto dicha modificación.
Cuando, por motivos justificados, no sea posible realizar la notificación antes de que el cambio surta efecto, se efectuará en los diez días hábiles siguientes a la fecha en que haya tenido lugar el cambio.
3. Los PIC registrarán la información a que se refiere el apartado 1 en un soporte que permita su almacenamiento de manera que se garantice que la información sea accesible para futuras referencias y que permita la reproducción sin cambios de la información almacenada. Los PIC mantendrán dicha información actualizada.
4. Los PIC conservarán la información establecida en el apartado 1, letras d) y e), durante un período no superior a cinco años después de que el miembro de que se trate haya cesado en sus funciones.
5. Cuando la prueba a que se refiere el apartado 1, letra d) contenga información sobre condenas penales distintas de las enumeradas en dicha disposición, los PIC garantizarán que solo las personas responsables de la evaluación de la idoneidad de los posibles miembros del órgano de dirección tengan acceso a estas información. Esta información se conservará por separado de otra información relativa a los miembros del órgano de dirección. Se mantendrán registros del acceso a dicha información. No se almacenará esta información cuando se refiera a candidatos a un puesto como miembros del órgano de dirección que no hayan sido designados.
6. La AEVM conservará la información establecida en el apartado 1, letras d) y e), durante un período no superior a cinco años después de que el miembro de que se trate del órgano de dirección haya cesado en sus funciones.
Artículo 20
Información sobre los controles internos
[Artículo 27 quinquies bis, apartado 2, letra d), del Reglamento (UE) n.o 600/2014]
1. El solicitante de autorización para gestionar un sistema de información consolidada de conformidad con el artículo 27 quinquies ter del Reglamento (UE) n.o 600/2014 incluirá en su solicitud de autorización información detallada sobre su entorno de control interno. Esto incluirá información relativa a su función de control interno, su función de verificación del cumplimiento, su función de gestión de riesgos y su función de auditoría interna.
2. La información pormenorizada a la que se refiere el apartado 1 incluirá:
a) | un resumen de la organización de las funciones de control interno, gestión de riesgos, cumplimiento normativo y auditoría interna del solicitante, incluso cuando dichas funciones se externalicen; |
b) | una evaluación de los principales riesgos que puedan surgir en el funcionamiento del PIC; |
c) | las políticas de control interno del solicitante y sus procedimientos para garantizar la aplicación coherente y eficaz de dichas políticas; |
d) | las políticas, procedimientos y manuales relativos a la supervisión y evaluación de la adecuación y eficacia de los sistemas del solicitante; |
e) | las políticas, procedimientos y manuales relativos al control y la protección de los sistemas de tratamiento de información del solicitante; |
f) | la identidad de los órganos internos encargados de evaluar las constataciones resultantes de la realización del control interno y de decidir sobre sus resultados. |
3. Con respecto a la función de auditoría interna del solicitante, la información detallada a que se refiere el apartado 1 incluirá lo siguiente:
a) | información sobre la adhesión del solicitante a las normas profesionales nacionales o internacionales; |
b) | toda carta de funciones de auditoría interna, metodologías y procedimientos; |
c) | una explicación de la forma en que se elabora y aplica, en su caso, la metodología de auditoría interna, teniendo en cuenta la naturaleza de las actividades, la complejidad y los riesgos del solicitante; |
d) | cuando exista un comité de auditoría interna:
|
Artículo 21
Información sobre conflictos de intereses
[Artículo 27 quinquies bis, apartado 2, letra d), del Reglamento (UE) n.o 600/2014]
El solicitante de autorización para gestionar un sistema de información consolidada de conformidad con el artículo 27 quinquies ter del Reglamento (UE) n.o 600/2014 incluirá en su solicitud de autorización información sobre las medidas administrativas que ha concebido para evitar conflictos de intereses. Dichas medidas deberán incluir políticas y procedimientos para detectar, gestionar y revelar conflictos de intereses reales y potenciales y constar de los siguientes elementos:
a) | un inventario de los conflictos de intereses reales y potenciales, en el que se expondrán su descripción, identificación, prevención, gestión y divulgación; |
b) | la separación de las tareas y funciones comerciales dentro del PIC, que incluya:
|
c) | una descripción de la política de remuneración de los miembros del órgano de dirección y de la alta dirección; |
d) | las normas relativas a la aceptación de dinero, obsequios o favores por parte del personal del PIC y su órgano de dirección. |
Artículo 22
Información sobre la operatividad empresarial
[Artículo 27 quinquies bis, apartado 2, letras g) e i), del Reglamento (UE) n.o 600/2014]
1. El solicitante de autorización para gestionar un sistema de información consolidada de conformidad con el artículo 27 quinquies ter del Reglamento (UE) n.o 600/2014 incluirá en su solicitud la información siguiente:
a) | el gasto total de capital previsto para desarrollar el sistema de información consolidada; |
b) | los gastos de funcionamiento previstos para operar el sistema de información consolidada; |
c) | una descripción de los activos líquidos netos financiados mediante capital propio para cubrir posibles pérdidas generales de explotación con el fin de seguir prestando servicios teniendo en cuenta la información a que se refieren las letras a) y b). |
2. El solicitante de autorización para gestionar un sistema de información consolidada para bonos también proporcionará un mandato, estatutos, contratos u otra documentación que demuestre la existencia de mecanismos de redistribución de ingresos de conformidad con el artículo 27 nonies, apartado 5, del Reglamento (UE) n.o 600/2014.
Artículo 23
Información sobre la externalización
[Artículo 27 quinquies bis, apartado 2, letras a) y l), del Reglamento (UE) n.o 600/2014]
1. El solicitante de autorización para gestionar un sistema de información consolidada que disponga que proveedores de servicios terceros lleven a cabo determinadas actividades en su nombre, incluidas empresas con las que mantenga vínculos estrechos, incluirá en su solicitud de autorización la confirmación de que el proveedor de servicios tercero dispone de la competencia y la capacidad para desarrollar dichas actividades de forma fiable y profesional.
2. El solicitante deberá especificar qué actividades van a externalizarse, indicando los recursos humanos y técnicos necesarios para la realización de cada una de las actividades.
3. El solicitante que externalice actividades deberá presentar pruebas de que la externalización no reduce su competencia o capacidad para desempeñar las funciones de alta dirección o del órgano de dirección.
4. El solicitante deberá presentar pruebas de que sigue siendo responsable de cualquier actividad externalizada y adoptará medidas organizativas para garantizar:
a) | que evalúa si el proveedor de servicios tercero lleva a cabo las actividades externalizadas con eficacia y de conformidad con las disposiciones legales y los requisitos reglamentarios aplicables y subsana adecuadamente las deficiencias detectadas; |
b) | la identificación de los riesgos en relación con las actividades externalizadas y una adecuada supervisión periódica; |
c) | la existencia de procedimientos de control adecuados en relación con las actividades externalizadas, incluida la supervisión efectiva de las actividades y sus riesgos en el seno del PIC; |
d) | la continuidad operativa adecuada de las actividades externalizadas. |
A efectos de la letra d), el solicitante deberá obtener información sobre los dispositivos de continuidad operativa del proveedor de servicios tercero, evaluar su calidad y, en caso necesario, solicitar mejoras.
5. Cuando el solicitante externalice cualquier función esencial o importante, proporcionará a la AEVM:
a) | la identificación del proveedor tercero de servicios; |
b) | las medidas y políticas organizativas en materia de externalización y los riesgos que plantea la misma, tal como se especifica en el apartado 4; |
c) | informes internos o externos relativos a las actividades externalizadas. |
Artículo 24
Información sobre los modelos de tarifas y licencias en relación con los datos de mercado
[Artículo 27 quinquies bis, apartado 2, letra h), del Reglamento (UE) n.o 600/2014]
El solicitante de autorización para gestionar un sistema de información consolidada de conformidad con el artículo 27 quinquies ter del Reglamento (UE) n.o 600/2014 facilitará a la AEVM la información a que se refiere el artículo 17 del Reglamento Delegado (UE) 2025/1156.
Artículo 25
Información sobre la resiliencia operativa digital
[Artículo 27 quinquies bis, apartado 2, letras a), b) y l), del Reglamento (UE) n.o 600/2014]
1. El solicitante de autorización para gestionar un sistema de información consolidada de conformidad con el artículo 27 quinquies ter del Reglamento (UE) n.o 600/2014 incluirá en su solicitud de autorización pruebas del cumplimiento de los requisitos sobre organización y capacidades de gestión del riesgo de TIC, estrategia y pruebas de resiliencia operativa, gestión de incidentes y seguimiento del riesgo relacionado con las TIC por terceros en virtud del Reglamento (UE) 2022/2554.
2. La información a que se refiere el apartado 1 incluirá documentos relativos a los mecanismos del solicitante, de conformidad con el Reglamento (UE) 2022/2554, sobre:
a) | gestión del riesgo relacionado con las TIC; |
b) | gestión de incidentes relacionados con las TIC; |
c) | pruebas de resiliencia operativa digital; |
d) | seguimiento del riesgo de terceros relacionado con las TIC. |
3. A efectos de la información contemplada en el apartado 1, se tendrán en cuenta el tamaño y el perfil de riesgo global, así como la naturaleza, escala y complejidad de los servicios, actividades y operaciones del solicitante.
Artículo 26
Información sobre eficiencia energética
[Artículo 27 quinquies bis, apartado 2, letra m), del Reglamento (UE) n.o 600/2014]
1. El solicitante de autorización para gestionar un sistema de información consolidada de conformidad con el artículo 27 quinquies ter del Reglamento (UE) 600/2014 deberá facilitar en su solicitud de autorización información sobre el coeficiente de eficacia del uso de la energía previsto, tal como se define en la norma ISO/IEC 30134-2: 2016 (13) y las mejores prácticas mencionadas en la versión más reciente del código de conducta europeo sobre eficiencia energética de los centros de datos.
2. A efectos del coeficiente de eficacia del uso de la energía previsto a que se refiere el apartado 1, el solicitante tendrá en cuenta las actividades establecidas en el punto 8.1 de los anexos I y II del Reglamento Delegado (UE) 2021/2139 de la Comisión (14).
Artículo 27
Información sobre las medidas de conservación de registros
[Artículo 27 quinquies bis, apartado 2, letra k), del Reglamento (UE) n.o 600/2014]
El solicitante de autorización para gestionar un sistema de información consolidada de conformidad con el artículo 27 quinquies ter del Reglamento (UE) n.o 600/2014 facilitará a la AEVM información sobre las disposiciones adoptadas para garantizar que:
a) | cada fase clave de la actividad del PIC pueda ser reconstituida; |
b) | el contenido original de un registro relacionado con su actividad de conformidad con el artículo 27 nonies bis, apartado 3, del Reglamento (UE) n.o 600/2014 antes de cualquier corrección u otra modificación pueda registrarse, rastrearse y recuperarse; |
c) | se hayan establecido medidas para impedir la alteración no autorizada de dichos registros; |
d) | los datos registrados sean seguros y confidenciales; |
e) | el sistema de conservación de los registros lleve incorporado un mecanismo para identificar y corregir errores; |
f) | en caso de fallo del sistema, los registros se recuperan oportunamente. |
Artículo 28
Información sobre los requisitos de organización
[Artículo 27 quinquies bis, apartado 2, letra b), del Reglamento (UE) n.o 600/2014]
El solicitante de autorización para gestionar un sistema de información consolidada de conformidad con el artículo 27 quinquies ter del Reglamento (UE) 600/2014 facilitará a la AEVM la información sobre las disposiciones adoptadas para garantizar el cumplimiento de los requisitos organizativos establecidos en el artículo 27 nonies del Reglamento (UE) n.o 600/2014.
Artículo 29
Información sobre la recepción, consolidación y difusión de datos y la calidad de los datos
[artículo 27 quinquies bis, apartado 2, letras c), e), f) y j), del Reglamento (UE) n.o 600/2014]
El solicitante de autorización para gestionar un sistema de información consolidada de conformidad con el artículo 27 quinquies ter del Reglamento (UE) n.o 600/2014 facilitará a la AEVM información sobre:
a) | los protocolos de transmisión a que se refiere el artículo 22 bis del Reglamento (UE) n.o 600/2014, en consonancia con los requisitos establecidos en el artículo 2 del Reglamento Delegado (UE) 2025/1155; |
b) | las características técnicas de los sistemas adoptados para garantizar que la velocidad de difusión de los datos básicos de mercado y de los datos reglamentarios se corresponda con la información que sirvió de base para seleccionar al solicitante; |
c) | los métodos adoptados para garantizar la calidad de los datos, en consonancia con los requisitos establecidos en el artículo 10 del Reglamento Delegado (UE) 2025/1155; |
d) | la documentación que certifique que las modernas tecnologías de interfaz adoptadas para la difusión de datos de mercado y para la conectividad cumplen los requisitos mínimos establecidos en el artículo 9 del Reglamento Delegado (UE) 2025/1155. |
Artículo 30
Información de los solicitantes conjuntos
[Artículo 27 quinquies bis, apartado 2, letra n), del Reglamento (UE) n.o 600/2014]
Además de los requisitos establecidos en el artículo 15, los solicitantes conjuntos de autorización para gestionar un sistema de información consolidada deberán incluir en su solicitud de autorización información sobre la necesidad, en términos de capacidad técnica y logística, de que cada solicitante gestione el sistema de información consolidada de manera conjunta.
CAPÍTULO III
DISPOSICIONES FINALES
Artículo 31
Derogación
Queda derogado el Reglamento Delegado (UE) 2017/571.
Las referencias al Reglamento derogado se entenderán hechas al presente Reglamento.
Artículo 32
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 12 de junio de 2025.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 173 de 12.6.2014, p. 84, ELI: http://data.europa.eu/eli/reg/2014/600/oj.
(2) Reglamento Delegado (UE) 2017/571 de la Comisión, de 2 de junio de 2016, por el que se completa la Directiva 2014/65/UE del Parlamento Europeo y del Consejo en lo que se refiere a las normas técnicas de regulación relativas a la autorización, los requisitos de organización y la publicación de operaciones aplicables a los proveedores de servicios de suministro de datos (DO L 87 de 31.3.2017, p. 126, ELI: http://data.europa.eu/eli/reg_del/2017/571/oj).
(3) Reglamento (UE) 2024/791 del Parlamento Europeo y del Consejo, de 28 de febrero de 2024, por el que se modifica el Reglamento (UE) n.o 600/2014 en lo que se refiere a la mejora de la transparencia de los datos, la eliminación de obstáculos al establecimiento de sistemas de información consolidada, la optimización de las obligaciones de negociación y la prohibición de recibir pagos por el flujo de órdenes (DO L, 2024/791, 8.3.2024, ELI: http://data.europa.eu/eli/reg/2024/791/oj).
(4) Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).
(5) Reglamento Delegado (UE) 2025/1155 de la Comisión, de 12 de junio de 2025, por el que se completa el Reglamento (UE) n.o 600/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación en las que se especifican los datos de entrada y de salida de los sistemas de información consolidada, la sincronización de los relojes comerciales y la redistribución de ingresos por parte del proveedor de información consolidada para acciones y fondos cotizados, y por el que se deroga el Reglamento Delegado (UE) 2017/574 de la Comisión (DO L, 2025/1155, 3.11.2025, ELI: http://data.europa.eu/eli/reg_del/2025/1155/oj).
(6) Reglamento Delegado (UE) 2025/1156 de la Comisión, de 12 de junio de 2025, por el que se completa el Reglamento (UE) n.o 600/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación relativas a la obligación de poner a disposición del público los datos de mercado en condiciones comerciales razonables (DO L, 2025/1156, 3.11.2025, ELI: http://data.europa.eu/eli/reg_del/2025/1156/oj).
(7) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(8) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.° 45/2001 y la Decisión n.° 1247/2002/CE (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(9) Reglamento (UE) n.o 1095/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Europea de Valores y Mercados), se modifica la Decisión n.o 716/2009/CE y se deroga la Decisión 2009/77/CE de la Comisión (DO L 331 de 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
(10) Reglamento Delegado (UE) 2017/590 de la Comisión, de 28 de julio de 2016, por el que se completa el Reglamento (UE) n.o 600/2014 del Parlamento Europeo y del Consejo en lo que se refiere a las normas técnicas de regulación relativas a la comunicación de operaciones a las autoridades competentes (DO L 87 de 31.3.2017, p. 449, ELI: http://data.europa.eu/eli/reg_del/2017/590/oj).
(11) Reglamento Delegado (UE) 2017/587 de la Comisión, de 14 de julio de 2016, por el que se completa el Reglamento (UE) n.o 600/2014 del Parlamento Europeo y del Consejo, relativo a los mercados de instrumentos financieros, en lo que respecta a las normas técnicas de regulación relativas a los requisitos de transparencia aplicables a los centros de negociación y las empresas de servicios de inversión respecto de las acciones, los certificados de depósito de valores, los fondos cotizados, los certificados y otros instrumentos financieros similares y a las obligaciones de realización de las operaciones respecto de ciertas acciones en un centro de negociación o por un internalizador sistemático (DO L 87 de 31.3.2017, p. 387, ELI: http://data.europa.eu/eli/reg_del/2017/587/oj).
(12) Reglamento Delegado (UE) 2017/583 de la Comisión, de 14 de julio de 2016, por el que se completa el Reglamento (UE) n.o 600/2014 del Parlamento Europeo y del Consejo, relativo a los mercados de instrumentos financieros, en lo que respecta a las normas técnicas de regulación sobre los requisitos de transparencia aplicables a los centros de negociación y las empresas de servicios de inversión con relación a los bonos, los productos de financiación estructurada, los derechos de emisión y los derivados (DO L 87 de 31.3.2017, p. 229, ELI: http://data.europa.eu/eli/reg_del/2017/583/oj).
(13) Puede consultarse en inglés en el siguiente enlace: ISO/IEC 30134-2:2016 - Information technology — Data centres — Key performance indicators — Part 2: Power usage effectiveness (PUE).
(14) Reglamento Delegado (UE) 2021/2139 de la Comisión, de 4 de junio de 2021, por el que se completa el Reglamento (UE) 2020/852 del Parlamento Europeo y del Consejo y por el que se establecen los criterios técnicos de selección para determinar las condiciones en las que se considera que una actividad económica contribuye de forma sustancial a la mitigación del cambio climático o a la adaptación al mismo, y para determinar si esa actividad económica no causa un perjuicio significativo a ninguno de los demás objetivos ambientales (DO L 442 de 9.12.2021, p. 1, ELI: http://data.europa.eu/eli/reg_del/2021/2139/oj).
ELI: http://data.europa.eu/eli/reg_del/2025/1143/oj
ISSN 1977-0685 (electronic edition)
No hay comentarios:
Publicar un comentario