Derecho y NBIC

El Derecho de NBIC es una materia transversal, relacionada con tecnologías convergentes (Nanotecnologías, Biotecnologías, Tecnologías de la Información y ciencias Cognitivas). Enfatizan la creciente interconexión entre lo infinitamente pequeño (N), la creación de seres vivos (B), las máquinas pensantes (I) y el estudio del cerebro humano (C). Inciden en la ciencia y el derecho, tornando complejo establecer sus límites, desafíos y consecuencias económicas, político- sociales y éticas.

lunes, 1 de junio de 2026

CONCLUSIONES DEL CONSEJO DE LA UNION EUROPEA SOBRE EL PROFESORADO EN LA ERA DE LA INTELIGENCIA ARTIFICIAL

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

Las Conclusiones del Consejo sobre el profesorado en la era de la inteligencia artificial (IA), publicado en el Diario Oficial de la Union Europea el 26 de mayo de 2026, adoptadas por el Consejo de la Unión Europea en el seno del Consejo de Ministros de Educación, Juventud, Cultura y Deporte, resaltan el cambio que la IA imprime en la forma en que se organiza el aprendizaje y cómo el profesorado diseña, imparte y evalúa la enseñanza.

El documento tiene por objeto definir el marco político y orientaciones para la integración de la inteligencia artificial en los sistemas de educación y formación de la Unión, con especial atención a la posición, competencias y protección jurídica del profesorado. El objetivo central es apoyar a los docentes con competencias digitales, uso pedagógico responsable de la IA y marcos claros para integrar estas herramientas en educación.

Las principales ideas son: que la IA debe entenderse como una herramienta de apoyo al trabajo docente, no como sustituto del profesorado ni a su criterio profesional; insistiéndose en que los docentes adquieran y desarrollen competencias digitales y específicas para el uso pedagógico de la IA; el uso de la IA de manera pedagógica, ética y segura; y enmarcar este documento en la cooperación europea en educación y en la adaptación de los sistemas educativos al cambio tecnológico. La inquietud es aprovechar el potencial de la IA sin perder calidad educativa, criterio profesional ni control humano en las decisiones educativas.

El Consejo reafirma que el profesorado debe liderar el uso de la IA en el aula, con apoyo institucional, recursos adecuados y marcos normativos y pedagógicos que salvaguarden su autonomía profesional y la calidad de la enseñanza.

En Conclusión, el Consejo pide preparar al profesorado para liderar, con apoyo y criterio, la integración de la IA en la enseñanza, garantizando un uso ético, competente y centrado en el aprendizaje.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com

________________________________________________________

Diario Oficial
de la Unión Europea

Serie C

C/2026/2826

26.5.2026

Conclusiones del Consejo sobre el profesorado en la era de la inteligencia artificial (IA)

(C/2026/2826)

EL CONSEJO DE LA UNIÓN EUROPEA,

RECUERDA el contexto político del Espacio Europeo de Educación y su plena realización, así como el papel clave del profesorado, que ocupa un lugar central en los sistemas de educación y formación de calidad, inclusivos, preparados para el futuro y adaptados a la era digital.

LLAMA LA ATENCIÓN sobre la soberanía digital y la autonomía estratégica como elementos esenciales para Europa, señalando que es fundamental reducir, también en la educación y la formación, las dependencias asociadas a las herramientas y tecnologías de inteligencia artificial (IA) desarrolladas fuera de Europa.

RECONOCE que:

1. la IA desempeña un papel fundamental en la competitividad y el crecimiento sostenible de Europa;

2. la transición digital en curso —y, en particular, la rapidez con la que se desarrolla e implanta la IA— está transformando la vida cotidiana en toda la Unión y da pie a nuevas realidades que afectan a los sistemas de educación y formación;

3. la IA tiene el potencial de influir en la forma en que se organiza el aprendizaje, en la manera en que el profesorado diseña, imparte y evalúa la enseñanza, y en la manera en que el alumnado accede a la información y la interpreta, por lo que puede transformar la relación entre docentes y aprendientes; también puede afectar a la forma en que los centros educativos gestionan las tareas administrativas;

4. integrar la IA en la educación y la formación requiere basarse en las capacidades y competencias digitales existentes y en su desarrollo continuo, así como en marcos de orientación y apoyo que permitan que el profesorado, el alumnado y los sistemas de educación y formación estén adecuadamente equipados para la transformación digital;

5. estos cambios podrían afectar a las funciones del profesorado y a lo que se espera de él, a las prácticas pedagógicas y a la organización general de la vida escolar.

SUBRAYA que, a efectos de las presentes Conclusiones, el término «profesorado» se refiere a docentes, formadores, equipos directivos de centros escolares y demás personal pedagógico que participan en la enseñanza del alumnado de preescolar, primaria, primer y segundo ciclo de secundaria de los sistemas formales de educación y formación, incluida la educación y formación profesionales iniciales y de segundo ciclo de secundaria, y debe entenderse en consonancia con el Derecho nacional o, en su caso, regional y con la estructura de cada sistema de educación y formación.

DESTACA que la IA tiene potencial para mejorar:

6. el aprendizaje activo y colaborativo y la actividad creativa;

7. la inclusión, mediante la provisión de recursos educativos para jóvenes con discapacidad y necesidades educativas especiales;

8. la accesibilidad del alumnado de zonas rurales y remotas y de entornos infrarrepresentados y marginados;

9. la participación en el aprendizaje de aprendientes de orígenes lingüísticos diversos, mejorando así la diversidad cultural y lingüística;

10. la pedagogía a través de varios enfoques, incluido el aprendizaje práctico y basado en la experiencia;

11. la personalización para atender a diversos perfiles de aprendizaje, por ejemplo, mediante instrucciones individualizadas y retroalimentaciones inmediatas, favoreciendo así la adquisición de conocimientos y competencias;

12. las prácticas de evaluación centradas en las necesidades y el progreso individual de cada aprendiente, lo que permite la detección temprana de lagunas y las retroalimentaciones formativas y previene el riesgo de desinterés o abandono;

13. la eficiencia administrativa, lo que permite dedicar más tiempo al proceso de enseñanza y aprendizaje.

SEÑALA que la IA puede plantear problemas en relación con:

14. la acción y supervisión humanas, especialmente teniendo en cuenta que la IA puede socavar la autonomía del profesorado y del alumnado;

15. la dependencia tecnológica de las herramientas de IA, en particular la IA generativa, que puede erosionar gradualmente el pensamiento crítico, así como las capacidades cognitivas y metacognitivas necesarias para el aprendizaje, al tiempo que puede afectar a la motivación del alumnado, a su percepción del valor de la educación y a su compromiso con el aprendizaje a lo largo de la vida;

16. el uso excesivo y sin propósito de pantallas y herramientas basadas en la IA por parte del alumnado joven, que puede causar distracción y, en algunos casos, obstaculizar su concentración y adquisición de competencias;

17. la rendición de cuentas de las personas, que podría verse socavada por la dependencia excesiva de las herramientas de IA, que, a su vez, podría dar pie a información errónea, plagios o problemas de derechos de autor;

18. los sesgos integrados en la IA o que esta amplifica, especialmente si no se tienen en cuenta otras particularidades contextuales, lo que podría provocar discriminación, desigualdad y exclusión;

19. la calidad, la integridad, la protección y la transparencia de los datos, especialmente habida cuenta de la necesidad de preservar la confianza, la equidad, la privacidad y la rendición de cuentas;

20. el riesgo de que se amplíen las brechas digitales, especialmente debido a un acceso desigual a las herramientas e infraestructuras de IA y un diseño inadecuado de estas, así como debido a disparidades en las capacidades y competencias digitales, lo que podría exacerbar las desigualdades entre el alumnado;

21. el bienestar social, mental y medioambiental, especialmente debido al riesgo de que la implantación de la IA pueda afectar a la cohesión social y a los procesos cognitivos y agravar aún más la crisis medioambiental y climática.

DESTACA:

22. la necesidad de que el uso de la IA en la educación y la formación se apoye en un planteamiento equilibrado, informado por pruebas, con propósito y basado en valores, que aproveche las oportunidades y, al mismo tiempo, detecte, prevenga y mitigue los riesgos de forma proactiva;

23. la importancia de distinguir entre las herramientas de IA de uso general que se utilizan en las actividades educativas y la tecnología educativa basada en IA (EdTech) respaldada por principios pedagógicos y diseñada para mejorar los resultados educativos, en consonancia con el enfoque basado en el riesgo definido en el Reglamento de Inteligencia Artificial;

24. que, junto con los grandes cambios tecnológicos, la dimensión humana de la enseñanza y el aprendizaje, basados en el uso ético, seguro y responsable de la IA, sigue siendo fundamental;

25. que el profesorado tiene un papel esencial a la hora de facilitar este proceso y puede ayudar a que, en los sistemas de educación y formación, se saque partido a la innovación, al tiempo que se siguen promoviendo la calidad, la equidad, la inclusión y el éxito de todos, que siguen siendo fundamentales en el trayecto hacia el Espacio Europeo de Educación.

HACE HINCAPIÉ EN que:

26. el profesorado desempeña un papel decisivo en el proceso de aprendizaje y a la hora de determinar cómo se introduce, interpreta y utiliza la IA;

27. las decisiones educativas relativas al uso de la IA deben seguir basándose en objetivos pedagógicos;

28. las herramientas de IA deben apoyar al profesorado, sin sustituirlo ni aislarlo, y que el criterio profesional, la autonomía pedagógica y la responsabilidad son esenciales para una educación y una formación de calidad, inclusivas y centradas en el ser humano.

AFIRMA el papel esencial y en evolución del profesorado a la hora de:

29. aprovechar las oportunidades que ofrece la IA, al tiempo que se salvaguardan la confianza y las interacciones significativas entre el profesorado y el alumnado en el aula, así como las necesidades socioemocionales y de desarrollo del alumnado, garantizando que la orientación y la supervisión sean adecuadas a la edad;

30. facilitar el aprendizaje con herramientas de IA, utilizando enfoques didácticos creativos, innovadores y personalizados, cuando representen un valor pedagógico añadido;

31. evaluar de manera crítica los resultados de la IA, explicar las limitaciones y los posibles sesgos de los sistemas de IA y ayudar al alumnado a evaluar la información generada por la IA;

32. reforzar la ciudadanía digital orientando al alumnado en el uso responsable, ético y crítico de la IA, potenciando así la participación democrática informada y activa;

33. ayudar al alumnado a evaluar las implicaciones medioambientales, sociales y éticas de las herramientas de IA, para contribuir a un futuro ecológico, justo y resiliente;

34. contribuir, cuando proceda, al diseño conjunto, la selección, la evaluación y la adaptación contextual de las herramientas de IA que se utilizan en la educación y la formación.

Por lo tanto, INSTA a que los enfoques relacionados con la IA en la educación y la formación se guíen por los principios del humanismo digital, garantizando que la tecnología esté al servicio de las personas, apoye la capacidad de acción humana y refuerce los valores democráticos.

RECONOCE que:

35. invertir en el profesorado es esencial para garantizar que la IA contribuya de forma positiva a la enseñanza y el aprendizaje;

36. capacitar al profesorado para manejarse con las oportunidades y los riesgos de la IA requiere:

a) alfabetización en materia de IA, lo que comprende conocimientos, capacidades y competencias en relación con las herramientas y las tecnologías de IA, pensamiento crítico y alfabetización mediática;
b) orientación de calidad, desarrollo de capacidades y desarrollo profesional;
c) una comprensión nítida de los retos en materia de soberanía de los datos que se relacionan con el uso de herramientas de IA en la educación y la formación;
d) un marco de actuación global que apoye la implantación segura de herramientas y tecnologías de IA fiables en la educación y la formación y que salvaguarde la autonomía pedagógica y la toma de decisiones profesionales;
e) unas condiciones de trabajo favorables, con la asistencia de especialistas técnicos en educación, y la infraestructura digital necesaria para que docentes de todos los orígenes, niveles de preparación digital y edades puedan adaptarse al cambio tecnológico y ejercer su criterio profesional de manera responsable y con confianza;

37. se necesitan enfoques sistémicos y enfoques que incluyan a todo el centro educativo, en los que participen todos los agentes clave, incluidos los progenitores y las familias, a fin de garantizar una integración coherente, sostenible y equitativa de la IA en la educación y la formación, para evitar que los docentes tengan que asumir individualmente una carga excesiva.

LLAMA LA ATENCIÓN sobre:

38. la importancia de la cooperación interdisciplinaria a escala nacional, regional y de la UE, para que ninguna institución de educación y formación se quede atrás;

39. la necesidad de reforzar la autonomía estratégica de la Unión en materia de tecnologías educativas fomentando el desarrollo de herramientas y soluciones de IA con origen en la UE, en consonancia con los valores e intereses de la Unión.

INVITA A LOS ESTADOS MIEMBROS a que:

40. ayuden al profesorado a seguir desarrollando las capacidades y competencias digitales existentes para utilizar eficazmente las herramientas y tecnologías de IA y enseñar sobre ellas, así como para comprender los beneficios y riesgos asociados;

41. respalden la introducción y el uso de herramientas de IA, cuando añadan valor pedagógico, de manera que sirvan de complemento y refuerzo de la dimensión humana de la enseñanza, sin asumir las funciones pedagógicas del profesorado ni reemplazar la relación con el alumnado;

42. fomenten la provisión de herramientas de IA fiables, éticas, centradas en el ser humano, basadas en la investigación y explicables, diseñadas específicamente para contextos educativos y adaptadas a la edad del alumnado y a la finalidad educativa prevista;

43. cuando proceda, faculten al profesorado para integrar las herramientas de IA en los procesos de enseñanza y aprendizaje de manera crítica, responsable y ética y con confianza, salvaguardando al mismo tiempo la autonomía pedagógica, el criterio profesional y el bienestar del alumnado;

44. estimulen la integración de la alfabetización en materia de IA, cuando proceda, en la formación inicial del profesorado, la acogida e iniciación en el empleo y el desarrollo profesional continuo;

45. incluyan al profesorado en la creación y evaluación de iniciativas de IA y fomenten iniciativas de investigación que examinen el efecto de la IA en las funciones docentes, así como en los resultados del aprendizaje;

46. promuevan enfoques éticos, seguros y fiables en relación con la IA en la educación y la formación, por ejemplo, mediante directrices en materia de protección de datos, la concienciación sobre los riesgos, la rendición de cuentas y salvaguardias centradas en el aprendiente;

47. aborden las cuestiones de equidad y accesibilidad, incluida la accesibilidad lingüística y las disparidades regionales, promoviendo un acceso justo a las herramientas de IA, a la infraestructura digital y a recursos digitales de alta calidad para todo el profesorado y el alumnado;

48. exploren y aprovechen el potencial de la IA para respaldar enfoques inclusivos, personalizados y centrados en el alumnado, también en la formación profesional y el aprendizaje en el trabajo;

49. tengan debidamente en cuenta los efectos de la IA en la carga de trabajo, las actividades de evaluación y las tareas administrativas del profesorado, con vistas a garantizar sus derechos a través de unas condiciones de trabajo sostenibles y favorables;

50. apoyen el bienestar del profesorado, velando por que la IA contribuya a mejorar los procesos de enseñanza y aprendizaje sin crear presiones indebidas.

INVITA A LA COMISIÓN EUROPEA a que, en el marco de sus competencias y teniendo debidamente en cuenta el principio de subsidiariedad:

51. siga cooperando y desarrollando sinergias con el Consejo de Europa, la UNESCO y la OCDE y continúe trabajando con la OCDE en la finalización del marco de alfabetización en materia de IA para la educación primaria y secundaria;

52. apoye un enfoque coherente y estratégico con respecto a la IA en la educación y la formación a escala europea, que se centre en las competencias digitales, la alfabetización en materia de IA, el apoyo al desarrollo profesional del profesorado y el pensamiento crítico y que impulse la resiliencia democrática, incluida la capacidad de evaluar los sesgos, la desinformación y los riesgos relacionados con el ciberacoso, al tiempo que trabaja en la hoja de ruta para 2030 sobre el futuro de la educación y las competencias digitales;

53. facilite la generación y el intercambio de pruebas, la investigación, las buenas prácticas y el intercambio de políticas sobre enfoques de la IA centrados en el ser humano en la educación y la formación, en particular a través del Centro Europeo de Educación Digital;

54. siga elaborando y divulgando orientaciones y recursos prácticos para apoyar el uso ético, responsable, seguro y transparente de las herramientas de IA en la educación y la formación, lo que incluye la promoción de las Directrices sobre el uso ético de la inteligencia artificial (IA) y los datos en la educación y formación para los educadores, recientemente actualizadas, y las Directrices para profesores y educadores sobre la lucha contra la desinformación y la promoción de la alfabetización digital a través de la educación y la formación;

55. proceda a la actualización del Marco Europeo de Competencia Digital Docente (DigCompEdu) a fin de tener en cuenta el rápido desarrollo y el uso creciente de la IA, garantizando que el personal docente esté equipado con los conocimientos, las competencias y las actitudes necesarios para integrar de manera eficaz, crítica y responsable las herramientas y prácticas basadas en la IA en la enseñanza, el aprendizaje y la evaluación;

56. garantice la coherencia entre las iniciativas de la UE relacionadas con la IA, la educación y la formación, y la transformación digital;

57. apoye a los Estados miembros a la hora de facilitar marcos y orientaciones sobre responsabilidades jurídicas y de protección de datos, incluida la aplicación del Reglamento de Inteligencia Artificial en la educación y la formación;

58. promueva la participación del profesorado en el diseño y la evaluación de iniciativas a escala de la UE sobre la IA en la educación y la formación.

INVITA A LOS ESTADOS MIEMBROS Y A LA COMISIÓN a que, en sus respectivos ámbitos de competencia:

59. sigan desarrollando programas adecuados de desarrollo de capacidades por medio de los que se prepare al profesorado para trabajar en entornos donde la IA es cada vez más frecuente;

60. trabajen para ofrecer orientaciones y protección al profesorado con respecto al uso de herramientas de IA en el aula por medio de un apoyo sistémico;

61. fomenten las actividades de aprendizaje entre iguales y el intercambio de buenas prácticas, también a escala europea, sobre los usos pedagógicos y centrados en el alumnado de la IA;

62. garanticen la coherencia con el marco estratégico para la cooperación europea en el ámbito de la educación y la formación con miras al Espacio Europeo de Educación, también por lo que respecta a su atención a la calidad, la equidad, la inclusión y el éxito de todos;

63. aprovechen los recursos ofrecidos por el Laboratorio de Aprendizaje sobre la Inversión en Educación y Formación de Calidad para apoyar el uso eficaz, seguro e inclusivo de la IA por parte del profesorado, sin que la participación en las actividades del laboratorio de aprendizaje deje de ser voluntaria;

64. sigan ayudando a que el profesorado mejore su comprensión de la IA mediante la promoción de recursos de aprendizaje profesional específicos, comunidades de prácticas y proyectos cooperativos sobre el uso pedagógico, ético y práctico de la IA, por ejemplo, a través de la Plataforma Europea de Educación Escolar, la comunidad eTwinning y la herramienta SELFIE para docentes, según sea necesario;

65. promuevan y apoyen la investigación, la experimentación y la recopilación de pruebas sobre el uso de la IA en la educación y la formación, así como sobre su evaluación y optimización, a escala nacional y de la UE, para fundamentar las políticas y las prácticas pedagógicas;

66. sigan promoviendo la ciudadanía digital y apoyen la participación ciudadana a través de las tecnologías de IA.

ELI: http://data.europa.eu/eli/C/2026/2826/oj

ISSN 1977-0928 (electronic edition)

viernes, 29 de mayo de 2026

DICTAMEN DEL BANCO CENTRAL EUROPEO SOBRE PROPUESTA DE REGLAMENTO DE SIMPLIFICACIÓN DEL MARCO LEGISLATIVO DIGITAL (ÓMNIBUS DIGITAL).

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

El Dictamen del Banco Central Europeo, BCE se emite sobre una propuesta de Reglamento destinada a simplificar el marco legislativo digital de la UE, con impacto en ámbitos como datos, protección de datos personales, ciberseguridad y servicios digitales.

El BCE aprueba la intención de armonizar y racionalizar el entramado normativo digital, para favorecer una mayor coherencia, competitividad, innovación y eficiencia administrativa. Sin embargo, advierte que una reforma de este tipo puede trasladar la complejidad a la ejecución si no se alinean bien definiciones, procedimientos, canales de reporte y relaciones entre regímenes sectoriales.

Las principales observaciones son que el BCE apoya la lógica de un punto único de notificación para determinadas obligaciones de reporte, porque puede reducir duplicidades y cargas administrativas. También valora positivamente la idea de facilitar la reutilización y el intercambio de datos cuando ello sea útil para funciones públicas esenciales. En cambio, es cauteloso respecto de la articulación con marcos ya existentes, especialmente cuando un nuevo sistema puede ocultar obligaciones sectoriales previas.

Recomienda que las nuevas soluciones vengan acompañadas de definiciones más precisas, salvaguardas técnicas y claridad sobre el reparto de competencias entre autoridades.

Uno de los puntos sensibles es la delimitación de los supuestos en los que las autoridades públicas pueden requerir datos a operadores privados, que en la propuesta se vinculan de forma restrictiva a situaciones de “emergencia pública”. El BCE considera que esa noción debería aclararse y, en su caso, ampliarse para cubrir amenazas graves o inminentes que no siempre encajan en una emergencia formal, pero que pueden afectar a la estabilidad económica o financiera. También aparece como eje crítico la notificación de incidentes: el BCE valora la idea de un sistema más unificado, pero advierte que, si no se armonizan taxonomías, formatos y procedimientos, el efecto práctico puede ser el contrario al buscado. Por eso propone cautela frente a una integración precipitada de regímenes sectoriales ya consolidados.

Desde una perspectiva jurídico-regulatoria, el dictamen no cuestiona el objetivo político de la propuesta, sino su calidad normativa y su aplicabilidad real. La idea central es que la simplificación debe ser material, no solo formal: menos textos no bastan si la nueva arquitectura sigue exigiendo múltiples reportes, criterios poco definidos o coordinación compleja entre autoridades.

En conclusión, el dictamen del BCE apoya la simplificación digital, pero exige que la reforma preserve la funcionalidad regulatoria, la seguridad jurídica y la capacidad de las autoridades para acceder a datos cuando sea necesario.

________________________________________________________

Diario Oficial
de la Unión Europea

Serie C

C/2026/2621

26.5.2026

DICTAMEN DEL BANCO CENTRAL EUROPEO

de 10 de marzo de 2026

sobre una propuesta de reglamento en lo que respecta a la simplificación del marco legislativo digital (Ómnibus Digital)

(CON/2026/9)

(C/2026/2621)

Introducción y fundamento jurídico

El 9 de diciembre de 2025 el Banco Central Europeo (BCE) recibió una solicitud de dictamen del Parlamento Europeo sobre una propuesta de reglamento del Parlamento Europeo y del Consejo por el que se modifican los Reglamentos (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725, (UE) 2023/2854 y las Directivas 2002/58/CE, (UE) 2022/2555 y (UE) 2022/2557 en lo que respecta a la simplificación del marco legislativo digital y se derogan los Reglamentos (UE) 2018/1807, (UE) 2019/1150, (UE) 2022/868 y la Directiva (UE) 2019/1024 (Ómnibus digital) (1) (en lo sucesivo, «reglamento propuesto»).

La competencia consultiva del BCE se basa en el artículo 127, apartado 4, y el artículo 282, apartado 5, del Tratado de Funcionamiento de la Unión Europea, ya que el reglamento propuesto contiene disposiciones que afectan a competencias del BCE tales como la ejecución de la política monetaria, de conformidad con el artículo 127, apartado 2, primer guion, y el artículo 282, apartado 1, del Tratado; el buen funcionamiento de los sistemas de pago, con arreglo al artículo 127, apartado 2, cuarto guion, y al artículo 282, apartado 1, del Tratado; la supervisión prudencial de las entidades de crédito, conforme al artículo 127, apartado 6, del Tratado, y las funciones del BCE relativas a la recopilación de información estadística, de acuerdo con el artículo 5 de los Estatutos del Sistema Europeo de Bancos Centrales y del Banco Central Europeo (en lo sucesivo, los «Estatutos del SEBC»). De conformidad con la primera frase del artículo 17.5 del Reglamento interno del Banco Central Europeo, el presente dictamen ha sido adoptado por el Consejo de Gobierno.

1. Observaciones generales

1.1. El BCE apoya el reglamento propuesto, que supone una reforma importante destinada a simplificar y optimizar la aplicación del código normativo digital en la Unión. En la medida en que el reglamento propuesto sea eficaz para alcanzar sus objetivos de promover políticas que refuercen la competitividad de la Unión y alivien la carga normativa para las personas, las empresas y las administraciones, eliminará los impedimentos a la prestación de servicios y fomentará el desarrollo de la economía digital de la Unión, teniendo en cuenta al mismo tiempo la necesidad de mantener las normas más estrictas de promoción de los valores de la Unión, incluida la defensa de los derechos fundamentales. La economía digital es cada vez más importante y puede tener implicaciones para la ejecución de la política monetaria, ya que afecta al entorno en el que esta se ejecuta al transformar de manera heterogénea los patrones de consumo y producción, los modelos de negocio y los precios relativos en la zona del euro y los Estados miembros. Esta evolución tiene importantes efectos sobre las variables pertinentes para la política monetaria y su medición, tales como el empleo, la productividad, la producción potencial y la inflación. Incide asimismo en la transmisión de las decisiones de política monetaria a los hogares y las empresas, generando mayor incertidumbre y complejidad a las que se enfrentan los responsables políticos.

1.2. En particular, el BCE acoge con satisfacción las propuestas para simplificar los mecanismos de intercambio de datos entre administraciones públicas y empresas y entre empresas y administraciones públicas, así como las disposiciones que rigen el tratamiento de datos personales del Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo (²) (en lo sucesivo, el «Reglamento de Datos»). El BCE participa ampliamente en la recopilación, el desarrollo, la elaboración y la difusión de los datos que utiliza para llevar a cabo las funciones y actividades que entran dentro de los ámbitos de sus competencias. Estas competencias incluyen la recopilación de información estadística, cuando sea necesario, para el desempeño de las funciones del Sistema Europeo de Bancos Centrales (SEBC) de conformidad con el artículo 5 de los Estatutos del SEBC. El BCE también participa en numerosas iniciativas de cooperación que apoyan el intercambio de datos y la colaboración con otras instituciones, órganos y organismos de la Unión, así como con las autoridades competentes de los Estados miembros, terceros países y organizaciones internacionales. En el desempeño de sus funciones, también podrá tratar datos personales en determinadas circunstancias de conformidad con el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (³) (en lo sucesivo, «RPDUE»). Por estas razones, el BCE apoya las medidas destinadas a crear un marco regulador coherente y cohesionado que favorezca la disponibilidad y el uso de los datos.

1.3. El BCE también es responsable de garantizar el cumplimiento del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (⁴) (en lo sucesivo, «DORA») para las entidades de crédito clasificadas como significativas con arreglo al artículo 6, apartado 4, del Reglamento (UE) n.^o 1024/2013 del Consejo (⁵), de conformidad con las competencias y funciones de supervisión prudencial atribuidas por dicho reglamento (⁶). Como tal, el BCE recibe notificaciones de entidades de crédito significativas a sus autoridades nacionales competentes sobre incidentes graves relacionados con las tecnologías de la información y la comunicación (en lo sucesivo, «incidentes relacionados con las TIC») y ciberamenazas significativas. Además, una de las funciones básicas del SEBC es promover el buen funcionamiento de los sistemas de pago, de acuerdo con el artículo 127, apartado 2, cuarto guion, del Tratado, tal como se refleja en el artículo 3.1 de los Estatutos del SEBC. En este contexto, el BCE recibe notificaciones de incidentes de las entidades de pago y las entidades de dinero electrónico, así como de las entidades de crédito, de conformidad con el DORA. En vista de estas responsabilidades y funciones, el BCE celebra, en general, las iniciativas para seguir simplificando y armonizando el marco de notificación de incidentes relacionados con las TIC dentro de la Unión y para establecer la notificación centralizada de incidentes graves relacionados con las TIC. Dado que el sector financiero ha estado a la vanguardia de la aplicación de un marco armonizado, exhaustivo y eficaz para la notificación de incidentes, el BCE apoya las medidas que simplifiquen el cumplimiento de los requisitos de notificación de incidentes, atendiendo a la experiencia adquirida en el sector financiero.

1.4. Sin embargo, al BCE le preocupa en qué medida el reglamento propuesto permitiría alcanzar el objetivo de simplificación en casos específicos en los que no alivie la carga del cumplimiento de la normativa a la que se enfrentan las empresas y las autoridades públicas. En consecuencia, el BCE presenta en el presente dictamen algunas observaciones y sugerencias técnicas específicas sobre el reglamento propuesto.

1.5. Debido a estas preocupaciones, el BCE también se congratula de que la Comisión evalúe los principales capítulos del Reglamento de Datos a más tardar el 12 de septiembre de 2028 y de los nuevos capítulos en un plazo de cinco años a partir de la entrada en vigor del reglamento propuesto (⁷). Asimismo, es importante que la cláusula de revisión del DORA (⁸) se mantenga inalterada, exigiendo a la Comisión que revise y presente un informe sobre el funcionamiento de muchos aspectos del DORA. Este proceso de revisión debe garantizar que los reglamentos en cuestión sigan funcionando eficazmente para cumplir sus objetivos, contribuyendo así el desarrollo de la economía digital en la Unión.

2. Normas digitales

2.1. El BCE apoya plenamente el reglamento propuesto como primer paso para simplificar el código normativo digital y optimizar su aplicación. El conjunto de normas digitales que se ha ido desarrollando con el tiempo en los ámbitos de los datos, la inteligencia artificial, las plataformas en línea, la protección de datos y la ciberseguridad se ha vuelto complejo y ahora contiene disposiciones fragmentadas y solapadas que crean incertidumbre tanto para las autoridades públicas como para las empresas.

2.2. La consolidación en el Reglamento de Datos de las normas del Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo (⁹), relativo a la reutilización de datos protegidos que obren en poder de organismos del sector público de todos los Estados miembros, con las normas de la Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo (¹⁰), relativa a la reutilización de los documentos que obren en poder de organismos del sector público de los Estados miembros o de empresas públicas, establece una estructura más coherente y definiciones más congruentes de términos clave, lo que facilita la aplicación de las normas de intercambio de datos. Esto se ve respaldado por la derogación de normas obsoletas, en particular las del Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo (¹¹).

2.3. En el caso de los bancos centrales nacionales (BCN), que suelen ser organismos del sector público de los Estados miembros y que, por tanto, están sujetos a normas destinadas a facilitar la reutilización de los datos, esto aporta una claridad muy necesaria. El BCE y los BCN también se beneficiarán de disposiciones más claras sobre la disponibilidad de datos, en particular de fuentes de datos abiertos que hayan sido clasificadas como conjuntos de datos de alto valor (¹²). El BCE utiliza ampliamente estos conjuntos de datos en el desempeño de las funciones que le atribuye el artículo 5, apartado 1, de los Estatutos del SEBC a fin de recopilar la información estadística necesaria para llevar a cabo las funciones del SEBC.

2.4. Por ejemplo, la información sobre sociedades y propiedad de sociedades se utiliza para mantener el Registro de Instituciones y Filiales (RIAD), que es un conjunto compartido de datos de referencia de unidades jurídicas y otras instituciones estadísticas, cuya recopilación sirve de apoyo a los procesos de negocio del Eurosistema y al desempeño de las tareas del SEBC y del Mecanismo Único de Supervisión (MUS) (¹³). Cuando el BCE pueda basarse en datos abiertos, es decir, datos en formatos abiertos que puede utilizar, reutilizar y compartir libremente cualquier persona con cualquier fin (¹⁴), puede reducir la carga de la presentación de dichos datos por parte de los agentes informadores y compartir esta información sin restricciones dentro del SEBC y con otras autoridades públicas con las que coopere. El BCE acoge con satisfacción que las disposiciones relativas a la disponibilidad de datos y documentos de las administraciones públicas a las empresas (¹⁵) se entiendan sin perjuicio del régimen jurídico de la Unión que excluye el acceso a datos y documentos sensibles por motivos de secreto estadístico y secreto profesional.

2.5. El reglamento propuesto introduce una modificación importante (¹⁶) de la obligación de los tenedores de datos de poner los datos a disposición del BCE, así como de otros organismos del sector público, la Comisión y los organismos de la Unión, cuando exista una necesidad excepcional de utilizar dichos datos (¹⁷). Esta disposición permite al BCE solicitar a los tenedores de datos que pongan datos a su disposición, cuando sea necesario, para responder a una emergencia pública o cuando se demuestre una necesidad excepcional. Dada la amplitud de la definición de titular de datos (¹⁸), la disposición permite al BCE recopilar datos en estos casos excepcionales de una gama más amplia de personas que la permitida cuando el BCE recopila información estadística en virtud de sus competencias actuales. El BCE solo podrá recopilar información estadística de los miembros de la población informadora definida en el Reglamento (CE) n.^o 2533/98 del Consejo (¹⁹), que pertenezcan principalmente al sector de las «sociedades financieras», tal como se define en el Sistema Europeo de Cuentas (²⁰), o que sean personas físicas y jurídicas que mantengan determinadas posiciones financieras o realicen operaciones financieras.

2.6. Como ha señalado anteriormente el BCE, permitir a las autoridades públicas acceder a los datos de titularidad privada y utilizarlos con fines de interés público determinados conlleva considerables beneficios (²¹). En el desempeño de sus funciones de política monetaria, el BCE hace un amplio uso no solo de las estadísticas oficiales elaboradas por el BCE, con la ayuda de los BCN y del Sistema Estadístico Europeo (SEE), sino también de fuentes de datos no oficiales y no tradicionales. Los datos no tradicionales pueden proceder, por ejemplo, de información sobre precios de alta frecuencia, indicadores de movilidad de la población u otras fuentes de datos que no obren necesariamente en poder de las sociedades financieras. El BCE solo está facultado para solicitar estos datos a titulares de datos privados en casos en los que exista una necesidad excepcional.

2.7. El principal cambio que introduciría el reglamento propuesto es limitar los casos en los que esta facultad puede ejercerse a las emergencias públicas, excluyendo otros casos en los que pueda existir una necesidad excepcional de utilizar datos. El BCE tendría que demostrar una necesidad excepcional de utilizar determinados datos para desempeñar sus funciones legalmente asignadas en aras del interés público a la hora de responder, mitigar o facilitar la recuperación tras una emergencia pública.

2.8. El BCE apoya los objetivos de estos cambios, por considerar adecuado simplificar el marco de intercambio entre empresas y administraciones públicas en virtud del Reglamento de Datos y aclarar cualquier ambigüedad que pueda haber surgido en la imposición de obligaciones a las empresas. También comparte la opinión de que es esencial preservar el papel de las estadísticas oficiales en virtud del Reglamento de Datos, ya que el marco actualizado de la Unión sobre estadísticas europeas con arreglo al Reglamento (CE) n.^o 223/2009 del Parlamento Europeo y del Consejo (²²) no aborda las emergencias públicas (²³).

2.9. Sin embargo, a diferencia de los miembros del SEE, que pueden recopilar datos de titulares de datos privados en determinadas condiciones para desempeñar sus funciones estadísticas (²⁴), el BCE no tiene competencias para recopilar información estadística de titulares de datos privados que no sean agentes informadores, salvo en los casos en que exista una necesidad excepcional. El BCE solo podrá recurrir a mecanismos que permitan el intercambio de datos del SEE al SEBC para obtener dichos datos. Si el ámbito de aplicación de la disposición pertinente se reduce para cubrir únicamente una emergencia pública, es sumamente importante garantizar que pueda aplicarse sin problemas y sin ambigüedades en situaciones de urgencia en las que se necesiten fuentes adicionales de datos para que el BCE desempeñe su función de recopilación estadística u otras funciones de banca central o supervisión prudencial. Por consiguiente, el BCE recomienda simplificar aún más las condiciones que deben cumplir las autoridades públicas para solicitar datos, ya que esto también serviría para minimizar las complejidades a las que se enfrentan los titulares de datos a la hora de verificar si se cumplen estas condiciones.

2.10. Además, el BCE considera que deben adoptarse nuevas medidas para aclarar la definición de «emergencia pública». Un elemento de la definición es que debe «determinarse o declararse oficialmente de conformidad con los procedimientos correspondientes en virtud del Derecho de la Unión o nacional» (²⁵). Sin embargo, dado que existe un conjunto fragmentado de bases jurídicas del Derecho primario y derivado en las que puede basarse la determinación o declaración de una emergencia pública, debe quedar más claro que, cuando se realiza dicha determinación o declaración, la definición de «emergencia pública» no requiere que se cumplan criterios adicionales, habida cuenta de la urgencia con la que debe abordarse una emergencia pública. A modo de ejemplo, el Reglamento (UE) 2024/2747 del Parlamento Europeo y del Consejo (²⁶) permite al Consejo activar un modo de vigilancia del mercado interior cuando exista una amenaza de crisis que pueda aumentar hasta convertirse en una emergencia del mercado interior en los seis meses siguientes. Debe precisarse más que, cuando las tareas de la autoridad pública incluyan la mitigación de la emergencia pública, la amenaza de emergencia pública debe justificar la necesidad excepcional de solicitar datos. Además, la Decisión 2014/415/UE del Consejo (²⁷) por la que se establece el Dispositivo de Respuesta Política Integrada a las Crisis para la aplicación de la cláusula de solidaridad (artículo 222 del Tratado) no limita el alcance de las circunstancias en las que la decisión se aplica a situaciones excepcionales «limitadas en el tiempo» (²⁸). Por lo tanto, debe clarificarse más que la definición de emergencia pública se ajusta plenamente a las situaciones en las que se invocan disposiciones de emergencia en virtud del Derecho de la Unión y nacional, y no es más restrictiva que ellas.

2.11. Con respecto a las disposiciones en materia de compensación (²⁹), el BCE celebra el requisito de poner a disposición los datos para responder a una emergencia pública de forma gratuita, excepto cuando el titular de los datos sea una microempresa o una pequeña empresa. Sin embargo, considera importante garantizar que, cuando se conceda a las autoridades públicas acceso a datos de titularidad privada, estas no soporten costes irrazonables. Dado que cada solicitud de información sirve al interés público, los datos deben facilitarse a su coste y sin la imposición de un «margen razonable» (³⁰).

3. Protección de datos

3.1. El BCE acoge con satisfacción las modificaciones del reglamento propuesto destinadas a simplificar la legislación en materia de protección de datos. Dentro de los ámbitos de competencia del BCE, varios puntos merecen una mayor consideración para alcanzar el objetivo de simplificación, tanto en lo que respecta a reducir la carga administrativa como a garantizar que los incidentes se notifican de forma eficaz, oportuna y segura.

3.2. El BCE lleva a cabo una amplia gama de operaciones de tratamiento de datos personales en cooperación con los BCN. Además, el BCE coopera con las autoridades nacionales competentes (ANC) para el tratamiento de datos personales en el ámbito de la supervisión bancaria. Como institución de la Unión, el BCE trata los datos personales de conformidad con el RPDUE, mientras que los BCN y las ANC tratan los datos personales de acuerdo con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (³¹) (en lo sucesivo, el «RGPD»).

3.3. En los casos en que el BCE y los BCN o las ANC deciden conjuntamente los fines y medios del tratamiento de datos personales, actúan como corresponsables del tratamiento de dichos datos (³²). Por el contrario, cuando una entidad decide los fines y medios del tratamiento y la otra trata datos personales en su nombre, su relación es la del responsable y la del encargado del tratamiento respectivamente (³³). En ambos casos, el BCE trata los datos personales con arreglo al RPDUE, mientras que los BCN y las ANC tratan datos personales conforme al RGPD. Como consecuencia de ello, la misma operación de tratamiento se rige simultáneamente por dos instrumentos jurídicos de la Unión distintos, pero complementarios.

3.4. Un ejemplo de ello es que tanto el BCE como los BCN que participan en la liquidación de pagos inmediatos de TARGET (TIPS) tratan datos personales dentro del sistema TIPS. En este caso, se ha celebrado un acuerdo de corresponsabilidad del tratamiento. Del mismo modo, el tratamiento de datos personales en el contexto del futuro euro digital puede requerir la celebración de un contrato o acuerdo de protección de datos entre el BCE y los BCN de la zona del euro.

3.5. En el desempeño de las funciones del SEBC y del MUS en cooperación con los BCN y las ANC, es de vital importancia para el BCE que los actos jurídicos que rigen el tratamiento de datos personales estén, en la mayor medida posible, armonizados y sean compatibles entre sí. Por lo tanto, el BCE celebra el hecho de que las modificaciones propuestas del RGPD y del RPDUE se estén realizando en paralelo, contribuyendo así al establecimiento de un marco jurídico coherente y congruente. Esto garantiza que los plazos divergentes para la entrada en vigor y la aplicación de los actos jurídicos no den lugar a inseguridad jurídica.

3.6. Por lo tanto, a la luz de la cooperación del BCE con los BCN y las ANC en el tratamiento de datos personales cuando sea necesario para el desempeño de las funciones del SEBC y del MUS, el BCE comparte los siguientes puntos para su consideración:

3.7. Por lo que se refiere al mecanismo de punto de entrada único, el BCE recomienda facultar a los corresponsables del tratamiento para que notifiquen las violaciones de la seguridad de los datos personales en nombre de todos ellos (³⁴). Esto es posible porque el reglamento propuesto introduce un punto de entrada único armonizado a través del cual las entidades pueden, mediante una única notificación, cumplir simultáneamente sus obligaciones de notificación de incidentes derivadas de múltiples actos jurídicos de la Unión. Al poner en práctica el principio de «presentación única de la información y difusión múltiple», el punto de entrada único tiene por objeto reducir la carga administrativa de las entidades, garantizando al mismo tiempo una notificación de incidentes eficaz, oportuna y segura. A tal fin, el punto de entrada único pretende servir de canal común para la presentación de notificaciones conforme a varios instrumentos jurídicos (³⁵). Como el BCE ha señalado anteriormente, apoya firmemente el intercambio de información entre las autoridades para permitir el conocimiento intersectorial, contribuir a la prevención de los ciberataques y a su gestión eficaz, y fomentar una evaluación coherente de los riesgos de TIC en toda la Unión (³⁶). Conforme a lo expuesto, el BCE respalda la introducción del punto de acceso único en el contexto de la notificación de violaciones de la seguridad de los datos personales.

3.8. Al aplicar el mecanismo de punto de entrada único a las actividades conjuntas de tratamiento realizadas por el BCE en cooperación con los BCN (y las ANC), los BCN se beneficiarían, en virtud del reglamento propuesto, del uso de dicho punto de entrada único para la recepción de notificaciones de incidentes. Por el contrario, el BCE, como institución de la Unión, seguiría basándose, conforme al reglamento propuesto, en el canal de notificación establecido por el RPDUE, mediante el cual notifica los incidentes al Supervisor Europeo de Protección de Datos (SEPD) (³⁷).

3.9. El BCE reitera la necesidad de racionalizar, acelerar y maximizar el intercambio de información sobre incidentes, así como de garantizar la coherencia entre el RGPD y el RPDUE. Por lo tanto, sería conveniente incluir el RPDUE en los actos jurídicos de la Unión para los que debe utilizarse el punto de entrada único para las notificaciones de violaciones de la seguridad de los datos personales.

3.10. En cuanto a la notificación única de las violaciones de la seguridad de los datos en casos de corresponsabilidad del tratamiento, el BCE sostiene que los corresponsables del tratamiento deben tener libertad para decidir si hacen uso de esta posibilidad y en qué condiciones. El SEPD ha confirmado recientemente que, a efectos de determinar si el BCE está obligado a notificarle una violación de la seguridad de los datos personales, es irrelevante si el BCE, como corresponsable del tratamiento, es responsable de que se produzca dicha violación. El mero hecho de que el BCE sea corresponsable del tratamiento de la operación de tratamiento en cuyo contexto se ha producido la violación de la seguridad de los datos personales es suficiente para dar lugar a su obligación de notificarlo al SEPD, cuando se cumplan las condiciones pertinentes en virtud del RPDUE (³⁸).

3.11. Es importante advertir que, en los numerosos casos en que existe un acuerdo de corresponsabilidad entre el BCE y todos los BCN del Eurosistema, una única violación de la seguridad de los datos personales podría dar lugar a hasta 22 notificaciones, que, con toda probabilidad, tendrían un contenido similar o idéntico. Tal sistema sería contrario al objetivo de simplificar la carga administrativa para las autoridades públicas. Por lo tanto, sería conveniente disponer que los corresponsables del tratamiento puedan notificar las violaciones de la seguridad de los datos personales a través del punto de entrada único una sola vez a las autoridades de control competentes. En consonancia con los objetivos de simplificación, dicho sistema de notificación no se aplicaría cuando sea poco probable que la violación de la seguridad de los datos personales en cuestión entrañe un riesgo para los derechos y libertades de las personas físicas (³⁹).

3.12. Por estas razones, el BCE recomienda que se deje en manos de los corresponsables del tratamiento decidir si desean hacer uso de la posibilidad de presentar una notificación en nombre de todos los corresponsables del tratamiento en un acuerdo específico de corresponsabilidad, y en qué condiciones. Dicha notificación se presentaría una vez a través del punto de entrada único y, por tanto, se dirigiría a todas las autoridades de control pertinentes, sin comprometer el papel que desempeñan las obligaciones de notificación a la hora de garantizar la plena transparencia y el intercambio exhaustivo de información.

4. Notificación de incidentes

4.1. Como se señala en el apartado 1.3, el BCE se congratula de la iniciativa de simplificar y armonizar los procedimientos de notificación de incidentes relacionados con las TIC y de aplicar una notificación centralizada de incidentes graves relacionados con las TIC. No obstante, esto debería reducir, en cada caso, la carga administrativa para las entidades de crédito supervisadas, las entidades de pago, las entidades de dinero electrónico y las autoridades públicas. A este respecto, es importante reconocer que ya se ha logrado un cierto grado de simplificación de los procedimientos de notificación mediante la aplicación del DORA en el sector financiero. El DORA sustituyó eficazmente a los diferentes requisitos de notificación de incidentes relacionados con las TIC para las entidades financieras (⁴⁰), logrando una reducción significativa de la carga de notificación a la que estaban sujetas y aplicando mecanismos de coordinación eficaces y eficientes entre las diferentes autoridades competentes (⁴¹). El DORA logró este objetivo mediante la definición de taxonomías, plantillas y procedimientos de notificación comunes y la identificación de un punto de entrada único para estas notificaciones.

4.2. Si bien el BCE apoya estas iniciativas de simplificación, también tiene reservas sobre aspectos de las medidas de notificación de incidentes relacionados con las TIC en el reglamento propuesto por tres razones principales.

4.3. En primer lugar, la propuesta de un punto de entrada único no es eficaz para reducir la carga que supone la notificación para las entidades financieras y otras empresas sujetas a requisitos de notificación de incidentes. Si bien el punto de entrada único garantiza la existencia de un portal único para la notificación de incidentes, no altera el hecho de que siguen existiendo diferentes taxonomías, plantillas y procedimientos de notificación para cada notificación de incidentes en los diversos marcos distintos del DORA. Para notificar un incidente, una entidad financiera debe elaborar diferentes informes de conformidad con diferentes legislaciones (por ejemplo, en virtud del RGPD y el DORA). El mero hecho de permitir que estos informes se notifiquen a un único destinatario no alivia significativamente la carga administrativa. Por este motivo, sería conveniente tener debidamente en cuenta las normas técnicas de regulación adoptadas con arreglo al DORA para facilitar procesos de notificación más eficientes y racionalizados (⁴²). El BCE también celebraría una mayor armonización y, en su caso, la fusión de las taxonomías, plantillas y procedimientos de notificación de incidentes en los distintos marcos, con vistas a lograr una verdadera simplificación.

4.4. En segundo lugar, la notificación de incidentes del DORA activa procesos críticos desde el punto de vista temporal que pueden implicar la activación de procedimientos de crisis. La inclusión de un nuevo agente y sistema en la recepción de estas notificaciones de incidentes conlleva riesgos adicionales respecto a la disponibilidad y presentación oportuna de la información requerida. Por este motivo, la opción más eficaz y resiliente es que dichas notificaciones se envíen directamente a la autoridad competente, tal como se prevé en el DORA (⁴³), a fin de evitar cualquier demora indebida en la reacción supervisora ante una situación potencialmente crítica.

4.5. En tercer lugar, debe tenerse en cuenta el esfuerzo y el gasto ya comprometidos por el sector financiero en la aplicación del DORA, que ha empezado a aplicarse a partir del 17 de enero de 2025. Las entidades de crédito supervisadas y las autoridades competentes han destinado considerables recursos a la aplicación del nuevo marco. Desde esta perspectiva, sería beneficioso retrasar la integración de la notificación de incidentes relacionados con las TIC a través del punto de entrada único. Esto daría más tiempo para identificar posibles mejoras y formas de simplificar aún más la carga administrativa tanto para el MUS como para las entidades de crédito supervisadas.

4.6. Por estas razones, el BCE propone que el DORA se excluya del reglamento propuesto. Sería conveniente adquirir experiencia por separado con el nuevo punto de entrada único (que abarca los demás reglamentos, incluido el RPDUE) y el régimen de notificación del DORA que acaba de empezar a aplicarse, y, a continuación, revisar la mejor manera de integrarlos en una fase posterior.

En un documento técnico de trabajo aparte figuran las propuestas de redacción específicas, acompañadas de explicaciones, correspondientes a los puntos del reglamento propuesto que el BCE recomienda modificar. El documento técnico de trabajo está disponible en inglés en EUR-Lex.

Hecho en Fráncfort del Meno, el 10 de marzo de 2026.

La Presidenta del BCE

Christine LAGARDE

(1) COM (2025) 837 final.

(2) Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Reglamento de Datos) (DO L 2023/2854 de 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).

(3) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(4) Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1, ELI:http://data.europa.eu/eli/reg/2022/2554/oj).

(5) Reglamento (UE) n.o 1024/2013 del Consejo, de 15 de octubre de 2013, que encomienda al Banco Central Europeo tareas específicas respecto de políticas relacionadas con la supervisión prudencial de las entidades de crédito (DO L 287 de 29.10.2013, p. 63, ELI: http://data.europa.eu/eli/reg/2013/1024/oj).

(6) Artículo 46, letra a), del DORA.

(7) Artículo 1, apartado 26, del reglamento propuesto por el que se modifica el artículo 49 del Reglamento de Datos. Véase también el apartado 1.2 del Dictamen del Banco Central Europeo, de 5 de septiembre de 2022, relativo a una propuesta de reglamento sobre normas armonizadas para un acceso justo a los datos y su utilización (Ley de Datos) (CON/2022/30) (DO C 402 de 19.10.2022, p. 5).

(8) Artículo 58 del DORA.

(9) Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos) (DO L 152 de 3.6.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/868/oj).

(10) Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público (DO L 172 de 26.6.2019, p. 56, ELI: http://data.europa.eu/eli/dir/2019/1024/oj).

(11) Reglamento (UE) n.o 2018/1807 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a un marco para la libre circulación de datos no personales en la Unión Europea (DO L 303 de 28.11.2018, p. 59, ELI: http://data.europa.eu/eli/reg/2018/1807/oj).

(12) De conformidad con el artículo 13, apartado 1, de la Directiva sobre datos abiertos, las categorías temáticas de conjuntos de datos de alto valor son: geoespacial, observación de la Tierra y medio ambiente, meteorología, estadística, sociedades y propiedad de las sociedades y movilidad. Conforme al artículo 13, apartado 2, la Comisión estará facultada para adoptar actos delegados para modificar el anexo I mediante la inclusión de nuevas categorías temáticas de conjuntos de datos de alto valor con el fin de reflejar los avances tecnológicos y de mercado.

(13) Orientación (UE) 2018/876 del Banco Central Europeo, de 1 de junio de 2018, sobre RIAD (Register of Institutions and Affiliates Data) (BCE/2018/16) (DO L 154 de 18.6.2018, p. 3, ELI: http://data.europa.eu/eli/guideline/2018/876/oj).

(14) Véase el considerando 16 de la Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público (DO L 172 de 26.6.2019, p. 56, ELI: http://data.europa.eu/eli/dir/2019/1024/oj).

(15) Artículo 1, apartado 18, del reglamento propuesto, por el que se inserta un nuevo capítulo VII quater en el Reglamento de Datos.

(16) Artículo 1, apartado 7, del reglamento propuesto, por el que se inserta un nuevo artículo 15 bis en el Reglamento de Datos.

(17) Artículos 14 y 15 del Reglamento de Datos.

(18) Por «titular de datos» se entiende conforme a la definición del artículo 2, apartado 13, del Reglamento de Datos, «una persona física o jurídica que tiene el derecho o la obligación, con arreglo al presente Reglamento, al Derecho de la Unión aplicable o a la normativa nacional adoptada de conformidad con el Derecho de la Unión, de utilizar y poner a disposición datos, incluidos, cuando se haya pactado contractualmente, los datos del producto o los datos de servicios relacionados que haya extraído o generado durante la prestación de un servicio relacionado».

(19) Artículo 2 del Reglamento (CE) n.o 2533/98 del Consejo, de 23 de noviembre de 1998, sobre la obtención de información estadística por el Banco Central Europeo (DO L 318 de 27.11.1998, p. 8, ELI: http://data.europa.eu/eli/reg/1998/2533/oj).

(20) Véase el Sistema Europeo de Cuentas Nacionales y Regionales (SEC 2010), disponible en el sitio web de Eurostat: https://ec.europa.eu/eurostat.

(21) Apartado 2.3.1 del Dictamen CON/2022/30.

(22) Reglamento (CE) n.o 223/2009 del Parlamento Europeo y del Consejo, de 11 de marzo de 2009, relativo a la estadística europea y por el que se deroga el Reglamento (CE, Euratom) n.o 1101/2008 relativo a la transmisión a la Oficina Estadística de las Comunidades Europeas de las informaciones amparadas por el secreto estadístico, el Reglamento (CE) n.o 322/97 del Consejo sobre la estadística comunitaria y la Decisión 89/382/CEE, Euratom del Consejo por la que se crea un Comité del programa estadístico de las Comunidades Europeas (DO L 87 de 31.3.2009, p. 164, ELI: http://data.europa.eu/eli/reg/2009/223/oj).

(23) Considerando 15 del reglamento propuesto.

(24) Artículo 17 ter del Reglamento (CE) n.o 223/2009.

(25) Artículo 2, apartado 29, del Reglamento (UE) n.o 2023/2854.

(26) Reglamento (UE) 2024/2747 del Parlamento Europeo y del Consejo, de 9 de octubre de 2024, por el que se establece un marco de medidas relativas a una emergencia del mercado interior y a la resiliencia de dicho mercado y se modifica el Reglamento (CE) n.o 2679/98 del Consejo (Reglamento de Emergencia y Resiliencia del Mercado Interior) (DO L 2024/2747 de 8.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2747/oj).

(27) Decisión 2014/415/UE del Consejo, de 24 de junio de 2014, relativa a las modalidades de aplicación por la Unión de la cláusula de solidaridad (DO L 192 de 1.7.2014, p. 53, ELI: http://data.europa.eu/eli/dec/2014/415/oj).

(28) Artículo 2, apartado 29, del Reglamento (UE) n.o 2023/2854.

(29) Artículo 1, apartado 12, del reglamento propuesto, que sustituye al artículo 20 del Reglamento de Datos.

(30) Véase el apartado 2.3.3 del Dictamen CON/2022/30.

(31) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(32) En el sentido del artículo 26 del RGPD y del artículo 28 del RPDUE.

(33) En el sentido del artículo 28 del RGPD y del artículo 29 del RPDUE.

(34) Como dispone el artículo 34 del RPDUE.

(35) Entre ellos figuran el RGPD y la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj), el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj) (Reglamento eIDAS) y la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo (DO L 333 de 27.12.2022, p. 164, ELI: http://data.europa.eu/eli/dir/2022/2557/oj).

(36) Véase el apartado 3.3.1 del Dictamen CON/2022/14 del Banco Central Europeo de 11 de abril de 2022 sobre una propuesta de directiva del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad y por la que se deroga la Directiva (UE) 2016/1148 (DO C 233 de 16.6.2022, p. 22).

(37) Como dispone el artículo 34 del RPDUE.

(38) Dictamen de supervisión 18/2025 del SEPD sobre un proyecto de acuerdo de corresponsabilidad entre el Banco Central Europeo y las autoridades nacionales competentes en el contexto del Mecanismo Único de Supervisión (asunto 2024-1002), disponible en inglés en el sitio web del SEPD en www.edps.europa.eu.

(39) Artículo 34 del RPDUE.

(40) Véanse, en este sentido, los considerandos 16, 18, 19 y 23 del DORA.

(41) Esto ha permitido abordar la cuestión de las notificaciones paralelas en virtud del DORA, la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.o 1093/2010 y se deroga la Directiva 2007/64/CE (DO L 337 de 23.12.2015, p. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj), y las correspondientes directrices de la ABE, tal como se indica en el apartado 4.2.2 del Dictamen CON/2021/20 del Banco Central Europeo, de 4 de junio de 2021, acerca de una propuesta de reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero (DO C 343 de 26.8.2021, p. 1).

(42) Como prevé el considerando 54 del reglamento propuesto.

(43) Artículo 19 del DORA.

ELI: http://data.europa.eu/eli/C/2026/2621/oj

ISSN 1977-0928 (electronic edition)