viernes, 29 de mayo de 2026

DICTAMEN DEL BANCO CENTRAL EUROPEO SOBRE PROPUESTA DE REGLAMENTO DE SIMPLIFICACIÓN DEL MARCO LEGISLATIVO DIGITAL (ÓMNIBUS DIGITAL).

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

El Dictamen del Banco Central Europeo, BCE se emite sobre una propuesta de Reglamento destinada a simplificar el marco legislativo digital de la UE, con impacto en ámbitos como datos, protección de datos personales, ciberseguridad y servicios digitales.

El BCE aprueba la intención de armonizar y racionalizar el entramado normativo digital, para favorecer una mayor coherencia, competitividad, innovación y eficiencia administrativa. Sin embargo, advierte que una reforma de este tipo puede trasladar la complejidad a la ejecución si no se alinean bien definiciones, procedimientos, canales de reporte y relaciones entre regímenes sectoriales.

Las principales observaciones son que el BCE apoya la lógica de un punto único de notificación para determinadas obligaciones de reporte, porque puede reducir duplicidades y cargas administrativas. También valora positivamente la idea de facilitar la reutilización y el intercambio de datos cuando ello sea útil para funciones públicas esenciales. En cambio, es cauteloso respecto de la articulación con marcos ya existentes, especialmente cuando un nuevo sistema puede ocultar obligaciones sectoriales previas.

Recomienda que las nuevas soluciones vengan acompañadas de definiciones más precisas, salvaguardas técnicas y claridad sobre el reparto de competencias entre autoridades.

Uno de los puntos sensibles es la delimitación de los supuestos en los que las autoridades públicas pueden requerir datos a operadores privados, que en la propuesta se vinculan de forma restrictiva a situaciones de “emergencia pública”. El BCE considera que esa noción debería aclararse y, en su caso, ampliarse para cubrir amenazas graves o inminentes que no siempre encajan en una emergencia formal, pero que pueden afectar a la estabilidad económica o financiera. También aparece como eje crítico la notificación de incidentes: el BCE valora la idea de un sistema más unificado, pero advierte que, si no se armonizan taxonomías, formatos y procedimientos, el efecto práctico puede ser el contrario al buscado. Por eso propone cautela frente a una integración precipitada de regímenes sectoriales ya consolidados.

Desde una perspectiva jurídico-regulatoria, el dictamen no cuestiona el objetivo político de la propuesta, sino su calidad normativa y su aplicabilidad real. La idea central es que la simplificación debe ser material, no solo formal: menos textos no bastan si la nueva arquitectura sigue exigiendo múltiples reportes, criterios poco definidos o coordinación compleja entre autoridades.

En conclusión, el dictamen del BCE apoya la simplificación digital, pero exige que la reforma preserve la funcionalidad regulatoria, la seguridad jurídica y la capacidad de las autoridades para acceder a datos cuando sea necesario.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com

________________________________________________________

European flag

Diario Oficial
de la Unión Europea

ES

Serie C

C/2026/2621

26.5.2026

DICTAMEN DEL BANCO CENTRAL EUROPEO

de 10 de marzo de 2026

sobre una propuesta de reglamento en lo que respecta a la simplificación del marco legislativo digital (Ómnibus Digital)

(CON/2026/9)

(C/2026/2621)

Introducción y fundamento jurídico

El 9 de diciembre de 2025 el Banco Central Europeo (BCE) recibió una solicitud de dictamen del Parlamento Europeo sobre una propuesta de reglamento del Parlamento Europeo y del Consejo por el que se modifican los Reglamentos (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725, (UE) 2023/2854 y las Directivas 2002/58/CE, (UE) 2022/2555 y (UE) 2022/2557 en lo que respecta a la simplificación del marco legislativo digital y se derogan los Reglamentos (UE) 2018/1807, (UE) 2019/1150, (UE) 2022/868 y la Directiva (UE) 2019/1024 (Ómnibus digital) (1) (en lo sucesivo, «reglamento propuesto»).

La competencia consultiva del BCE se basa en el artículo 127, apartado 4, y el artículo 282, apartado 5, del Tratado de Funcionamiento de la Unión Europea, ya que el reglamento propuesto contiene disposiciones que afectan a competencias del BCE tales como la ejecución de la política monetaria, de conformidad con el artículo 127, apartado 2, primer guion, y el artículo 282, apartado 1, del Tratado; el buen funcionamiento de los sistemas de pago, con arreglo al artículo 127, apartado 2, cuarto guion, y al artículo 282, apartado 1, del Tratado; la supervisión prudencial de las entidades de crédito, conforme al artículo 127, apartado 6, del Tratado, y las funciones del BCE relativas a la recopilación de información estadística, de acuerdo con el artículo 5 de los Estatutos del Sistema Europeo de Bancos Centrales y del Banco Central Europeo (en lo sucesivo, los «Estatutos del SEBC»). De conformidad con la primera frase del artículo 17.5 del Reglamento interno del Banco Central Europeo, el presente dictamen ha sido adoptado por el Consejo de Gobierno.

1.   Observaciones generales


1.1.      El BCE apoya el reglamento propuesto, que supone una reforma importante destinada a simplificar y optimizar la aplicación del código normativo digital en la Unión. En la medida en que el reglamento propuesto sea eficaz para alcanzar sus objetivos de promover políticas que refuercen la competitividad de la Unión y alivien la carga normativa para las personas, las empresas y las administraciones, eliminará los impedimentos a la prestación de servicios y fomentará el desarrollo de la economía digital de la Unión, teniendo en cuenta al mismo tiempo la necesidad de mantener las normas más estrictas de promoción de los valores de la Unión, incluida la defensa de los derechos fundamentales. La economía digital es cada vez más importante y puede tener implicaciones para la ejecución de la política monetaria, ya que afecta al entorno en el que esta se ejecuta al transformar de manera heterogénea los patrones de consumo y producción, los modelos de negocio y los precios relativos en la zona del euro y los Estados miembros. Esta evolución tiene importantes efectos sobre las variables pertinentes para la política monetaria y su medición, tales como el empleo, la productividad, la producción potencial y la inflación. Incide asimismo en la transmisión de las decisiones de política monetaria a los hogares y las empresas, generando mayor incertidumbre y complejidad a las que se enfrentan los responsables políticos.

 

      1.2.            En particular, el BCE acoge con satisfacción las propuestas para simplificar los mecanismos de intercambio de datos entre administraciones públicas y empresas y entre empresas y administraciones públicas, así como las disposiciones que rigen el tratamiento de datos personales del Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo (2) (en lo sucesivo, el «Reglamento de Datos»). El BCE participa ampliamente en la recopilación, el desarrollo, la elaboración y la difusión de los datos que utiliza para llevar a cabo las funciones y actividades que entran dentro de los ámbitos de sus competencias. Estas competencias incluyen la recopilación de información estadística, cuando sea necesario, para el desempeño de las funciones del Sistema Europeo de Bancos Centrales (SEBC) de conformidad con el artículo 5 de los Estatutos del SEBC. El BCE también participa en numerosas iniciativas de cooperación que apoyan el intercambio de datos y la colaboración con otras instituciones, órganos y organismos de la Unión, así como con las autoridades competentes de los Estados miembros, terceros países y organizaciones internacionales. En el desempeño de sus funciones, también podrá tratar datos personales en determinadas circunstancias de conformidad con el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (3) (en lo sucesivo, «RPDUE»). Por estas razones, el BCE apoya las medidas destinadas a crear un marco regulador coherente y cohesionado que favorezca la disponibilidad y el uso de los datos.

 

      1.3.            El BCE también es responsable de garantizar el cumplimiento del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (4) (en lo sucesivo, «DORA») para las entidades de crédito clasificadas como significativas con arreglo al artículo 6, apartado 4, del Reglamento (UE) n.o 1024/2013 del Consejo (5), de conformidad con las competencias y funciones de supervisión prudencial atribuidas por dicho reglamento (6). Como tal, el BCE recibe notificaciones de entidades de crédito significativas a sus autoridades nacionales competentes sobre incidentes graves relacionados con las tecnologías de la información y la comunicación (en lo sucesivo, «incidentes relacionados con las TIC») y ciberamenazas significativas. Además, una de las funciones básicas del SEBC es promover el buen funcionamiento de los sistemas de pago, de acuerdo con el artículo 127, apartado 2, cuarto guion, del Tratado, tal como se refleja en el artículo 3.1 de los Estatutos del SEBC. En este contexto, el BCE recibe notificaciones de incidentes de las entidades de pago y las entidades de dinero electrónico, así como de las entidades de crédito, de conformidad con el DORA. En vista de estas responsabilidades y funciones, el BCE celebra, en general, las iniciativas para seguir simplificando y armonizando el marco de notificación de incidentes relacionados con las TIC dentro de la Unión y para establecer la notificación centralizada de incidentes graves relacionados con las TIC. Dado que el sector financiero ha estado a la vanguardia de la aplicación de un marco armonizado, exhaustivo y eficaz para la notificación de incidentes, el BCE apoya las medidas que simplifiquen el cumplimiento de los requisitos de notificación de incidentes, atendiendo a la experiencia adquirida en el sector financiero.

 

      1.4.            Sin embargo, al BCE le preocupa en qué medida el reglamento propuesto permitiría alcanzar el objetivo de simplificación en casos específicos en los que no alivie la carga del cumplimiento de la normativa a la que se enfrentan las empresas y las autoridades públicas. En consecuencia, el BCE presenta en el presente dictamen algunas observaciones y sugerencias técnicas específicas sobre el reglamento propuesto.

 

      1.5.            Debido a estas preocupaciones, el BCE también se congratula de que la Comisión evalúe los principales capítulos del Reglamento de Datos a más tardar el 12 de septiembre de 2028 y de los nuevos capítulos en un plazo de cinco años a partir de la entrada en vigor del reglamento propuesto (7). Asimismo, es importante que la cláusula de revisión del DORA (8) se mantenga inalterada, exigiendo a la Comisión que revise y presente un informe sobre el funcionamiento de muchos aspectos del DORA. Este proceso de revisión debe garantizar que los reglamentos en cuestión sigan funcionando eficazmente para cumplir sus objetivos, contribuyendo así el desarrollo de la economía digital en la Unión.

2.   Normas digitales

      2.1.            El BCE apoya plenamente el reglamento propuesto como primer paso para simplificar el código normativo digital y optimizar su aplicación. El conjunto de normas digitales que se ha ido desarrollando con el tiempo en los ámbitos de los datos, la inteligencia artificial, las plataformas en línea, la protección de datos y la ciberseguridad se ha vuelto complejo y ahora contiene disposiciones fragmentadas y solapadas que crean incertidumbre tanto para las autoridades públicas como para las empresas.

 

      2.2.            La consolidación en el Reglamento de Datos de las normas del Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo (9), relativo a la reutilización de datos protegidos que obren en poder de organismos del sector público de todos los Estados miembros, con las normas de la Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo (10), relativa a la reutilización de los documentos que obren en poder de organismos del sector público de los Estados miembros o de empresas públicas, establece una estructura más coherente y definiciones más congruentes de términos clave, lo que facilita la aplicación de las normas de intercambio de datos. Esto se ve respaldado por la derogación de normas obsoletas, en particular las del Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo (11).

 

      2.3.            En el caso de los bancos centrales nacionales (BCN), que suelen ser organismos del sector público de los Estados miembros y que, por tanto, están sujetos a normas destinadas a facilitar la reutilización de los datos, esto aporta una claridad muy necesaria. El BCE y los BCN también se beneficiarán de disposiciones más claras sobre la disponibilidad de datos, en particular de fuentes de datos abiertos que hayan sido clasificadas como conjuntos de datos de alto valor (12). El BCE utiliza ampliamente estos conjuntos de datos en el desempeño de las funciones que le atribuye el artículo 5, apartado 1, de los Estatutos del SEBC a fin de recopilar la información estadística necesaria para llevar a cabo las funciones del SEBC.

 

      2.4.            Por ejemplo, la información sobre sociedades y propiedad de sociedades se utiliza para mantener el Registro de Instituciones y Filiales (RIAD), que es un conjunto compartido de datos de referencia de unidades jurídicas y otras instituciones estadísticas, cuya recopilación sirve de apoyo a los procesos de negocio del Eurosistema y al desempeño de las tareas del SEBC y del Mecanismo Único de Supervisión (MUS) (13). Cuando el BCE pueda basarse en datos abiertos, es decir, datos en formatos abiertos que puede utilizar, reutilizar y compartir libremente cualquier persona con cualquier fin (14), puede reducir la carga de la presentación de dichos datos por parte de los agentes informadores y compartir esta información sin restricciones dentro del SEBC y con otras autoridades públicas con las que coopere. El BCE acoge con satisfacción que las disposiciones relativas a la disponibilidad de datos y documentos de las administraciones públicas a las empresas (15) se entiendan sin perjuicio del régimen jurídico de la Unión que excluye el acceso a datos y documentos sensibles por motivos de secreto estadístico y secreto profesional.

 

      2.5.            El reglamento propuesto introduce una modificación importante (16) de la obligación de los tenedores de datos de poner los datos a disposición del BCE, así como de otros organismos del sector público, la Comisión y los organismos de la Unión, cuando exista una necesidad excepcional de utilizar dichos datos (17). Esta disposición permite al BCE solicitar a los tenedores de datos que pongan datos a su disposición, cuando sea necesario, para responder a una emergencia pública o cuando se demuestre una necesidad excepcional. Dada la amplitud de la definición de titular de datos (18), la disposición permite al BCE recopilar datos en estos casos excepcionales de una gama más amplia de personas que la permitida cuando el BCE recopila información estadística en virtud de sus competencias actuales. El BCE solo podrá recopilar información estadística de los miembros de la población informadora definida en el Reglamento (CE) n.o 2533/98 del Consejo (19), que pertenezcan principalmente al sector de las «sociedades financieras», tal como se define en el Sistema Europeo de Cuentas (20), o que sean personas físicas y jurídicas que mantengan determinadas posiciones financieras o realicen operaciones financieras.

 

      2.6.            Como ha señalado anteriormente el BCE, permitir a las autoridades públicas acceder a los datos de titularidad privada y utilizarlos con fines de interés público determinados conlleva considerables beneficios (21). En el desempeño de sus funciones de política monetaria, el BCE hace un amplio uso no solo de las estadísticas oficiales elaboradas por el BCE, con la ayuda de los BCN y del Sistema Estadístico Europeo (SEE), sino también de fuentes de datos no oficiales y no tradicionales. Los datos no tradicionales pueden proceder, por ejemplo, de información sobre precios de alta frecuencia, indicadores de movilidad de la población u otras fuentes de datos que no obren necesariamente en poder de las sociedades financieras. El BCE solo está facultado para solicitar estos datos a titulares de datos privados en casos en los que exista una necesidad excepcional.

 

      2.7.            El principal cambio que introduciría el reglamento propuesto es limitar los casos en los que esta facultad puede ejercerse a las emergencias públicas, excluyendo otros casos en los que pueda existir una necesidad excepcional de utilizar datos. El BCE tendría que demostrar una necesidad excepcional de utilizar determinados datos para desempeñar sus funciones legalmente asignadas en aras del interés público a la hora de responder, mitigar o facilitar la recuperación tras una emergencia pública.

 

      2.8.            El BCE apoya los objetivos de estos cambios, por considerar adecuado simplificar el marco de intercambio entre empresas y administraciones públicas en virtud del Reglamento de Datos y aclarar cualquier ambigüedad que pueda haber surgido en la imposición de obligaciones a las empresas. También comparte la opinión de que es esencial preservar el papel de las estadísticas oficiales en virtud del Reglamento de Datos, ya que el marco actualizado de la Unión sobre estadísticas europeas con arreglo al Reglamento (CE) n.o 223/2009 del Parlamento Europeo y del Consejo (22) no aborda las emergencias públicas (23).

 

      2.9.            Sin embargo, a diferencia de los miembros del SEE, que pueden recopilar datos de titulares de datos privados en determinadas condiciones para desempeñar sus funciones estadísticas (24), el BCE no tiene competencias para recopilar información estadística de titulares de datos privados que no sean agentes informadores, salvo en los casos en que exista una necesidad excepcional. El BCE solo podrá recurrir a mecanismos que permitan el intercambio de datos del SEE al SEBC para obtener dichos datos. Si el ámbito de aplicación de la disposición pertinente se reduce para cubrir únicamente una emergencia pública, es sumamente importante garantizar que pueda aplicarse sin problemas y sin ambigüedades en situaciones de urgencia en las que se necesiten fuentes adicionales de datos para que el BCE desempeñe su función de recopilación estadística u otras funciones de banca central o supervisión prudencial. Por consiguiente, el BCE recomienda simplificar aún más las condiciones que deben cumplir las autoridades públicas para solicitar datos, ya que esto también serviría para minimizar las complejidades a las que se enfrentan los titulares de datos a la hora de verificar si se cumplen estas condiciones.

 

        2.10.        Además, el BCE considera que deben adoptarse nuevas medidas para aclarar la definición de «emergencia pública». Un elemento de la definición es que debe «determinarse o declararse oficialmente de conformidad con los procedimientos correspondientes en virtud del Derecho de la Unión o nacional» (25). Sin embargo, dado que existe un conjunto fragmentado de bases jurídicas del Derecho primario y derivado en las que puede basarse la determinación o declaración de una emergencia pública, debe quedar más claro que, cuando se realiza dicha determinación o declaración, la definición de «emergencia pública» no requiere que se cumplan criterios adicionales, habida cuenta de la urgencia con la que debe abordarse una emergencia pública. A modo de ejemplo, el Reglamento (UE) 2024/2747 del Parlamento Europeo y del Consejo (26) permite al Consejo activar un modo de vigilancia del mercado interior cuando exista una amenaza de crisis que pueda aumentar hasta convertirse en una emergencia del mercado interior en los seis meses siguientes. Debe precisarse más que, cuando las tareas de la autoridad pública incluyan la mitigación de la emergencia pública, la amenaza de emergencia pública debe justificar la necesidad excepcional de solicitar datos. Además, la Decisión 2014/415/UE del Consejo (27) por la que se establece el Dispositivo de Respuesta Política Integrada a las Crisis para la aplicación de la cláusula de solidaridad (artículo 222 del Tratado) no limita el alcance de las circunstancias en las que la decisión se aplica a situaciones excepcionales «limitadas en el tiempo» (28). Por lo tanto, debe clarificarse más que la definición de emergencia pública se ajusta plenamente a las situaciones en las que se invocan disposiciones de emergencia en virtud del Derecho de la Unión y nacional, y no es más restrictiva que ellas.

 

        2.11.        Con respecto a las disposiciones en materia de compensación (29), el BCE celebra el requisito de poner a disposición los datos para responder a una emergencia pública de forma gratuita, excepto cuando el titular de los datos sea una microempresa o una pequeña empresa. Sin embargo, considera importante garantizar que, cuando se conceda a las autoridades públicas acceso a datos de titularidad privada, estas no soporten costes irrazonables. Dado que cada solicitud de información sirve al interés público, los datos deben facilitarse a su coste y sin la imposición de un «margen razonable» (30).

3.   Protección de datos

      3.1.            El BCE acoge con satisfacción las modificaciones del reglamento propuesto destinadas a simplificar la legislación en materia de protección de datos. Dentro de los ámbitos de competencia del BCE, varios puntos merecen una mayor consideración para alcanzar el objetivo de simplificación, tanto en lo que respecta a reducir la carga administrativa como a garantizar que los incidentes se notifican de forma eficaz, oportuna y segura.

 

      3.2.            El BCE lleva a cabo una amplia gama de operaciones de tratamiento de datos personales en cooperación con los BCN. Además, el BCE coopera con las autoridades nacionales competentes (ANC) para el tratamiento de datos personales en el ámbito de la supervisión bancaria. Como institución de la Unión, el BCE trata los datos personales de conformidad con el RPDUE, mientras que los BCN y las ANC tratan los datos personales de acuerdo con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (31) (en lo sucesivo, el «RGPD»).

 

      3.3.            En los casos en que el BCE y los BCN o las ANC deciden conjuntamente los fines y medios del tratamiento de datos personales, actúan como corresponsables del tratamiento de dichos datos (32). Por el contrario, cuando una entidad decide los fines y medios del tratamiento y la otra trata datos personales en su nombre, su relación es la del responsable y la del encargado del tratamiento respectivamente (33). En ambos casos, el BCE trata los datos personales con arreglo al RPDUE, mientras que los BCN y las ANC tratan datos personales conforme al RGPD. Como consecuencia de ello, la misma operación de tratamiento se rige simultáneamente por dos instrumentos jurídicos de la Unión distintos, pero complementarios.

 

      3.4.            Un ejemplo de ello es que tanto el BCE como los BCN que participan en la liquidación de pagos inmediatos de TARGET (TIPS) tratan datos personales dentro del sistema TIPS. En este caso, se ha celebrado un acuerdo de corresponsabilidad del tratamiento. Del mismo modo, el tratamiento de datos personales en el contexto del futuro euro digital puede requerir la celebración de un contrato o acuerdo de protección de datos entre el BCE y los BCN de la zona del euro.

 

      3.5.            En el desempeño de las funciones del SEBC y del MUS en cooperación con los BCN y las ANC, es de vital importancia para el BCE que los actos jurídicos que rigen el tratamiento de datos personales estén, en la mayor medida posible, armonizados y sean compatibles entre sí. Por lo tanto, el BCE celebra el hecho de que las modificaciones propuestas del RGPD y del RPDUE se estén realizando en paralelo, contribuyendo así al establecimiento de un marco jurídico coherente y congruente. Esto garantiza que los plazos divergentes para la entrada en vigor y la aplicación de los actos jurídicos no den lugar a inseguridad jurídica.

 

      3.6.            Por lo tanto, a la luz de la cooperación del BCE con los BCN y las ANC en el tratamiento de datos personales cuando sea necesario para el desempeño de las funciones del SEBC y del MUS, el BCE comparte los siguientes puntos para su consideración:

 

      3.7.            Por lo que se refiere al mecanismo de punto de entrada único, el BCE recomienda facultar a los corresponsables del tratamiento para que notifiquen las violaciones de la seguridad de los datos personales en nombre de todos ellos (34). Esto es posible porque el reglamento propuesto introduce un punto de entrada único armonizado a través del cual las entidades pueden, mediante una única notificación, cumplir simultáneamente sus obligaciones de notificación de incidentes derivadas de múltiples actos jurídicos de la Unión. Al poner en práctica el principio de «presentación única de la información y difusión múltiple», el punto de entrada único tiene por objeto reducir la carga administrativa de las entidades, garantizando al mismo tiempo una notificación de incidentes eficaz, oportuna y segura. A tal fin, el punto de entrada único pretende servir de canal común para la presentación de notificaciones conforme a varios instrumentos jurídicos (35). Como el BCE ha señalado anteriormente, apoya firmemente el intercambio de información entre las autoridades para permitir el conocimiento intersectorial, contribuir a la prevención de los ciberataques y a su gestión eficaz, y fomentar una evaluación coherente de los riesgos de TIC en toda la Unión (36). Conforme a lo expuesto, el BCE respalda la introducción del punto de acceso único en el contexto de la notificación de violaciones de la seguridad de los datos personales.

 

      3.8.            Al aplicar el mecanismo de punto de entrada único a las actividades conjuntas de tratamiento realizadas por el BCE en cooperación con los BCN (y las ANC), los BCN se beneficiarían, en virtud del reglamento propuesto, del uso de dicho punto de entrada único para la recepción de notificaciones de incidentes. Por el contrario, el BCE, como institución de la Unión, seguiría basándose, conforme al reglamento propuesto, en el canal de notificación establecido por el RPDUE, mediante el cual notifica los incidentes al Supervisor Europeo de Protección de Datos (SEPD) (37).

 

      3.9.            El BCE reitera la necesidad de racionalizar, acelerar y maximizar el intercambio de información sobre incidentes, así como de garantizar la coherencia entre el RGPD y el RPDUE. Por lo tanto, sería conveniente incluir el RPDUE en los actos jurídicos de la Unión para los que debe utilizarse el punto de entrada único para las notificaciones de violaciones de la seguridad de los datos personales.

 

        3.10.        En cuanto a la notificación única de las violaciones de la seguridad de los datos en casos de corresponsabilidad del tratamiento, el BCE sostiene que los corresponsables del tratamiento deben tener libertad para decidir si hacen uso de esta posibilidad y en qué condiciones. El SEPD ha confirmado recientemente que, a efectos de determinar si el BCE está obligado a notificarle una violación de la seguridad de los datos personales, es irrelevante si el BCE, como corresponsable del tratamiento, es responsable de que se produzca dicha violación. El mero hecho de que el BCE sea corresponsable del tratamiento de la operación de tratamiento en cuyo contexto se ha producido la violación de la seguridad de los datos personales es suficiente para dar lugar a su obligación de notificarlo al SEPD, cuando se cumplan las condiciones pertinentes en virtud del RPDUE (38).

 

        3.11.        Es importante advertir que, en los numerosos casos en que existe un acuerdo de corresponsabilidad entre el BCE y todos los BCN del Eurosistema, una única violación de la seguridad de los datos personales podría dar lugar a hasta 22 notificaciones, que, con toda probabilidad, tendrían un contenido similar o idéntico. Tal sistema sería contrario al objetivo de simplificar la carga administrativa para las autoridades públicas. Por lo tanto, sería conveniente disponer que los corresponsables del tratamiento puedan notificar las violaciones de la seguridad de los datos personales a través del punto de entrada único una sola vez a las autoridades de control competentes. En consonancia con los objetivos de simplificación, dicho sistema de notificación no se aplicaría cuando sea poco probable que la violación de la seguridad de los datos personales en cuestión entrañe un riesgo para los derechos y libertades de las personas físicas (39).

 

        3.12.        Por estas razones, el BCE recomienda que se deje en manos de los corresponsables del tratamiento decidir si desean hacer uso de la posibilidad de presentar una notificación en nombre de todos los corresponsables del tratamiento en un acuerdo específico de corresponsabilidad, y en qué condiciones. Dicha notificación se presentaría una vez a través del punto de entrada único y, por tanto, se dirigiría a todas las autoridades de control pertinentes, sin comprometer el papel que desempeñan las obligaciones de notificación a la hora de garantizar la plena transparencia y el intercambio exhaustivo de información.

4.   Notificación de incidentes

      4.1.            Como se señala en el apartado 1.3, el BCE se congratula de la iniciativa de simplificar y armonizar los procedimientos de notificación de incidentes relacionados con las TIC y de aplicar una notificación centralizada de incidentes graves relacionados con las TIC. No obstante, esto debería reducir, en cada caso, la carga administrativa para las entidades de crédito supervisadas, las entidades de pago, las entidades de dinero electrónico y las autoridades públicas. A este respecto, es importante reconocer que ya se ha logrado un cierto grado de simplificación de los procedimientos de notificación mediante la aplicación del DORA en el sector financiero. El DORA sustituyó eficazmente a los diferentes requisitos de notificación de incidentes relacionados con las TIC para las entidades financieras (40), logrando una reducción significativa de la carga de notificación a la que estaban sujetas y aplicando mecanismos de coordinación eficaces y eficientes entre las diferentes autoridades competentes (41). El DORA logró este objetivo mediante la definición de taxonomías, plantillas y procedimientos de notificación comunes y la identificación de un punto de entrada único para estas notificaciones.

 

      4.2.            Si bien el BCE apoya estas iniciativas de simplificación, también tiene reservas sobre aspectos de las medidas de notificación de incidentes relacionados con las TIC en el reglamento propuesto por tres razones principales.

 

      4.3.            En primer lugar, la propuesta de un punto de entrada único no es eficaz para reducir la carga que supone la notificación para las entidades financieras y otras empresas sujetas a requisitos de notificación de incidentes. Si bien el punto de entrada único garantiza la existencia de un portal único para la notificación de incidentes, no altera el hecho de que siguen existiendo diferentes taxonomías, plantillas y procedimientos de notificación para cada notificación de incidentes en los diversos marcos distintos del DORA. Para notificar un incidente, una entidad financiera debe elaborar diferentes informes de conformidad con diferentes legislaciones (por ejemplo, en virtud del RGPD y el DORA). El mero hecho de permitir que estos informes se notifiquen a un único destinatario no alivia significativamente la carga administrativa. Por este motivo, sería conveniente tener debidamente en cuenta las normas técnicas de regulación adoptadas con arreglo al DORA para facilitar procesos de notificación más eficientes y racionalizados (42). El BCE también celebraría una mayor armonización y, en su caso, la fusión de las taxonomías, plantillas y procedimientos de notificación de incidentes en los distintos marcos, con vistas a lograr una verdadera simplificación.

 

      4.4.            En segundo lugar, la notificación de incidentes del DORA activa procesos críticos desde el punto de vista temporal que pueden implicar la activación de procedimientos de crisis. La inclusión de un nuevo agente y sistema en la recepción de estas notificaciones de incidentes conlleva riesgos adicionales respecto a la disponibilidad y presentación oportuna de la información requerida. Por este motivo, la opción más eficaz y resiliente es que dichas notificaciones se envíen directamente a la autoridad competente, tal como se prevé en el DORA (43), a fin de evitar cualquier demora indebida en la reacción supervisora ante una situación potencialmente crítica.

 

      4.5.            En tercer lugar, debe tenerse en cuenta el esfuerzo y el gasto ya comprometidos por el sector financiero en la aplicación del DORA, que ha empezado a aplicarse a partir del 17 de enero de 2025. Las entidades de crédito supervisadas y las autoridades competentes han destinado considerables recursos a la aplicación del nuevo marco. Desde esta perspectiva, sería beneficioso retrasar la integración de la notificación de incidentes relacionados con las TIC a través del punto de entrada único. Esto daría más tiempo para identificar posibles mejoras y formas de simplificar aún más la carga administrativa tanto para el MUS como para las entidades de crédito supervisadas.

 

            4.6.      Por estas razones, el BCE propone que el DORA se excluya del reglamento propuesto. Sería conveniente adquirir experiencia por separado con el nuevo punto de entrada único (que abarca los demás reglamentos, incluido el RPDUE) y el régimen de notificación del DORA que acaba de empezar a aplicarse, y, a continuación, revisar la mejor manera de integrarlos en una fase posterior.

En un documento técnico de trabajo aparte figuran las propuestas de redacción específicas, acompañadas de explicaciones, correspondientes a los puntos del reglamento propuesto que el BCE recomienda modificar. El documento técnico de trabajo está disponible en inglés en EUR-Lex.


Hecho en Fráncfort del Meno, el 10 de marzo de 2026.

La Presidenta del BCE

Christine LAGARDE

(1)  COM (2025) 837 final.

(2)  Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Reglamento de Datos) (DO L 2023/2854 de 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).

(3)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(4)  Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1, ELI:http://data.europa.eu/eli/reg/2022/2554/oj).

(5)  Reglamento (UE) n.o 1024/2013 del Consejo, de 15 de octubre de 2013, que encomienda al Banco Central Europeo tareas específicas respecto de políticas relacionadas con la supervisión prudencial de las entidades de crédito (DO L 287 de 29.10.2013, p. 63, ELI: http://data.europa.eu/eli/reg/2013/1024/oj).

(6)  Artículo 46, letra a), del DORA.

(7)  Artículo 1, apartado 26, del reglamento propuesto por el que se modifica el artículo 49 del Reglamento de Datos. Véase también el apartado 1.2 del Dictamen del Banco Central Europeo, de 5 de septiembre de 2022, relativo a una propuesta de reglamento sobre normas armonizadas para un acceso justo a los datos y su utilización (Ley de Datos) (CON/2022/30) (DO C 402 de 19.10.2022, p. 5).

(8)  Artículo 58 del DORA.

(9)  Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos) (DO L 152 de 3.6.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/868/oj).

(10)  Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público (DO L 172 de 26.6.2019, p. 56, ELI: http://data.europa.eu/eli/dir/2019/1024/oj).

(11)  Reglamento (UE) n.o 2018/1807 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a un marco para la libre circulación de datos no personales en la Unión Europea (DO L 303 de 28.11.2018, p. 59, ELI: http://data.europa.eu/eli/reg/2018/1807/oj).

(12)  De conformidad con el artículo 13, apartado 1, de la Directiva sobre datos abiertos, las categorías temáticas de conjuntos de datos de alto valor son: geoespacial, observación de la Tierra y medio ambiente, meteorología, estadística, sociedades y propiedad de las sociedades y movilidad. Conforme al artículo 13, apartado 2, la Comisión estará facultada para adoptar actos delegados para modificar el anexo I mediante la inclusión de nuevas categorías temáticas de conjuntos de datos de alto valor con el fin de reflejar los avances tecnológicos y de mercado.

(13)  Orientación (UE) 2018/876 del Banco Central Europeo, de 1 de junio de 2018, sobre RIAD (Register of Institutions and Affiliates Data) (BCE/2018/16) (DO L 154 de 18.6.2018, p. 3, ELI: http://data.europa.eu/eli/guideline/2018/876/oj).

(14)  Véase el considerando 16 de la Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público (DO L 172 de 26.6.2019, p. 56, ELI: http://data.europa.eu/eli/dir/2019/1024/oj).

(15)  Artículo 1, apartado 18, del reglamento propuesto, por el que se inserta un nuevo capítulo VII quater en el Reglamento de Datos.

(16)  Artículo 1, apartado 7, del reglamento propuesto, por el que se inserta un nuevo artículo 15 bis en el Reglamento de Datos.

(17)  Artículos 14 y 15 del Reglamento de Datos.

(18)  Por «titular de datos» se entiende conforme a la definición del artículo 2, apartado 13, del Reglamento de Datos, «una persona física o jurídica que tiene el derecho o la obligación, con arreglo al presente Reglamento, al Derecho de la Unión aplicable o a la normativa nacional adoptada de conformidad con el Derecho de la Unión, de utilizar y poner a disposición datos, incluidos, cuando se haya pactado contractualmente, los datos del producto o los datos de servicios relacionados que haya extraído o generado durante la prestación de un servicio relacionado».

(19)  Artículo 2 del Reglamento (CE) n.o 2533/98 del Consejo, de 23 de noviembre de 1998, sobre la obtención de información estadística por el Banco Central Europeo (DO L 318 de 27.11.1998, p. 8, ELI: http://data.europa.eu/eli/reg/1998/2533/oj).

(20)  Véase el Sistema Europeo de Cuentas Nacionales y Regionales (SEC 2010), disponible en el sitio web de Eurostat: https://ec.europa.eu/eurostat.

(21)  Apartado 2.3.1 del Dictamen CON/2022/30.

(22)  Reglamento (CE) n.o 223/2009 del Parlamento Europeo y del Consejo, de 11 de marzo de 2009, relativo a la estadística europea y por el que se deroga el Reglamento (CE, Euratom) n.o 1101/2008 relativo a la transmisión a la Oficina Estadística de las Comunidades Europeas de las informaciones amparadas por el secreto estadístico, el Reglamento (CE) n.o 322/97 del Consejo sobre la estadística comunitaria y la Decisión 89/382/CEE, Euratom del Consejo por la que se crea un Comité del programa estadístico de las Comunidades Europeas (DO L 87 de 31.3.2009, p. 164, ELI: http://data.europa.eu/eli/reg/2009/223/oj).

(23)  Considerando 15 del reglamento propuesto.

(24)  Artículo 17 ter del Reglamento (CE) n.o 223/2009.

(25)  Artículo 2, apartado 29, del Reglamento (UE) n.o 2023/2854.

(26)  Reglamento (UE) 2024/2747 del Parlamento Europeo y del Consejo, de 9 de octubre de 2024, por el que se establece un marco de medidas relativas a una emergencia del mercado interior y a la resiliencia de dicho mercado y se modifica el Reglamento (CE) n.o 2679/98 del Consejo (Reglamento de Emergencia y Resiliencia del Mercado Interior) (DO L 2024/2747 de 8.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2747/oj).

(27)  Decisión 2014/415/UE del Consejo, de 24 de junio de 2014, relativa a las modalidades de aplicación por la Unión de la cláusula de solidaridad (DO L 192 de 1.7.2014, p. 53, ELI: http://data.europa.eu/eli/dec/2014/415/oj).

(28)  Artículo 2, apartado 29, del Reglamento (UE) n.o 2023/2854.

(29)  Artículo 1, apartado 12, del reglamento propuesto, que sustituye al artículo 20 del Reglamento de Datos.

(30)  Véase el apartado 2.3.3 del Dictamen CON/2022/30.

(31)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(32)  En el sentido del artículo 26 del RGPD y del artículo 28 del RPDUE.

(33)  En el sentido del artículo 28 del RGPD y del artículo 29 del RPDUE.

(34)  Como dispone el artículo 34 del RPDUE.

(35)  Entre ellos figuran el RGPD y la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj), el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj) (Reglamento eIDAS) y la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo (DO L 333 de 27.12.2022, p. 164, ELI: http://data.europa.eu/eli/dir/2022/2557/oj).

(36)  Véase el apartado 3.3.1 del Dictamen CON/2022/14 del Banco Central Europeo de 11 de abril de 2022 sobre una propuesta de directiva del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad y por la que se deroga la Directiva (UE) 2016/1148 (DO C 233 de 16.6.2022, p. 22).

(37)  Como dispone el artículo 34 del RPDUE.

(38)  Dictamen de supervisión 18/2025 del SEPD sobre un proyecto de acuerdo de corresponsabilidad entre el Banco Central Europeo y las autoridades nacionales competentes en el contexto del Mecanismo Único de Supervisión (asunto 2024-1002), disponible en inglés en el sitio web del SEPD en www.edps.europa.eu.

(39)  Artículo 34 del RPDUE.

(40)  Véanse, en este sentido, los considerandos 16, 18, 19 y 23 del DORA.

(41)  Esto ha permitido abordar la cuestión de las notificaciones paralelas en virtud del DORA, la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.o 1093/2010 y se deroga la Directiva 2007/64/CE (DO L 337 de 23.12.2015, p. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj), y las correspondientes directrices de la ABE, tal como se indica en el apartado 4.2.2 del Dictamen CON/2021/20 del Banco Central Europeo, de 4 de junio de 2021, acerca de una propuesta de reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero (DO C 343 de 26.8.2021, p. 1).

(42)  Como prevé el considerando 54 del reglamento propuesto.

(43)  Artículo 19 del DORA.

ELI: http://data.europa.eu/eli/C/2026/2621/oj

ISSN 1977-0928 (electronic edition)

Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)