La Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los Servicios de Inversión ha adaptado el régimen de las empresas de servicios de inversión -entre otras normas europeas- al Reglamento de la UE sobre la resiliencia operativa digital en el sector financiero (DORA). Se trata del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) 1060/2009, (UE) 648/2012, (UE) 600/2014, (UE) 909/2014 y (UE) 2016/1011; conocido como Ley de Resiliencia Operativa Digital / Digital Operational Resilience Act e identificado en el mercado financiero internacional por su acrónimo anglosajón DORA (el lector interesado en profundizar en el conocimiento de este complejo Reglamento puede ver las publicaciones que se citan en la nota bibliográfica final).
Interesa recordar al lector de este blog que uno de los ejes cardinales de la nueva LMVSI incide en la solvencia de los intermediarios típicos del mercado de instrumentos financieros que son las empresas de servicios de inversión y afecta, entre otros aspectos, a su resiliencia operativa digital. En este sentido, la LMVSI -tal y como señala el epígrafe II de su Preámbulo- transpone la Directiva por la que se modifican las Directivas 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 y (UE) 2016/2341. Esta Directiva acompaña al Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) 1060/2009, (UE) 648/2012, (UE) 600/2014, (UE) 909/2014 y (UE) 2016/1011 (DORA). Para alcanzar los objetivos establecidos en dicho Reglamento, se modifican varias Directivas, como por ejemplo la Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, para incluir disposiciones relativas a la continuidad y regularidad de la prestación de servicios y la realización de actividades de inversión, a la resiliencia y la suficiente capacidad de los sistemas de negociación, a los mecanismos efectivos de continuidad de las actividades y a la gestión de riesgos.
A) Adaptación al DORA del régimen sancionador aplicable a las empresas de servicios de inversión
Cuando examinamos la forma en la que la LMVSI incorpora DORA, debemos tener en cuenta que, el tratarse de un Reglamento de la UE, resultará directamente aplicable en todos los Estados miembros y no precisará de trasposición en sentido estricto. Esta es la razón para que la incorporación se centre en el régimen sancionador y se proyecte, en concreto, en dos apartados:
a) En la tipificación de sus incumplimientos como infracciones muy graves o graves
En este sentido, el artículo 308 de la LMVSI ofrece el elenco de “infracciones por incumplimiento de las obligaciones establecidas en el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011”.
Dicho precepto clasifica dichas infracciones en dos categorías:
a.1) Las infracciones muy graves que serán los incumplimientos de las obligaciones recogidas en los siguientes artículos del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011: a) El artículo 5 sobre gobernanza y organización en caso de ausencia o grave deficiencia de un marco interno de gobernanza y control que garantice una gestión eficaz y prudente de todos los riesgos de las tecnologías digitales o de la información y la comunicación. b) El artículo 6 sobre el marco de gestión del riesgo de tecnologías digitales o de la información y la comunicación en caso de ausencia o grave deficiencia de un marco de gestión del riesgo sólido, completo y bien documentado. c) El artículo 7 sobre sistemas, protocolos y herramientas de tecnologías digitales o de la información y la comunicación en caso de falta de actualización que los haga inoperativos.
d) El artículo 17 sobre procesos de gestión de incidentes relacionados con las tecnologías digitales o de la información y la comunicación en caso de ausencia o grave deficiencia del proceso. e) El artículo 19 sobre la notificación de los incidentes graves relacionados con las tecnologías digitales o de la información y la comunicación”.
a.2) Las infracciones graves que serán los incumplimientos de las obligaciones recogidas en los siguientes artículos del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011: “a) Los artículos citados en el apartado primero en caso de inadecuación de los marcos, sistemas, protocolos, herramientas y procesos. b) El artículo 8 en caso de falta de identificación, clasificación y documentación adecuada de todas las funciones empresariales relacionadas con las tecnologías digitales o de la información y la comunicación, así como una falta de identificación de forma continua de todas las fuentes de riesgo derivadas de las tecnologías digitales o de la información y la comunicación. c) El artículo 9 en caso de falta de control continuo del funcionamiento de los sistemas y herramientas de tecnologías digitales o de la información y la comunicación. d) El artículo 10 en caso de ausencia de mecanismos para detectar rápidamente las actividades anómalas. e) El artículo 11 en caso de falta de una política de continuidad de las actividades de tecnologías digitales o de la información y la comunicación. f) El artículo 14 en caso de falta de un plan de comunicación que permita la divulgación responsable de incidentes relacionados con las tecnologías digitales o de la información y la comunicación o vulnerabilidades importantes a clientes y contrapartes, así como al público, según proceda”.
b) En el régimen de las sanciones imponibles.
El artículo 324 de la LMVSI establece el “régimen aplicable a los incumplimientos del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011” de forma paralela al art.308, esto es, distinguiendo la sanciones correspondientes a los dos tipos de infracciones de tal manera que:
b.1) En el caso de incumplimientos de las obligaciones o prohibiciones previstas en el Reglamento (UE) 2022/2554 del Parlamento Europeo y del que constituyan infracción muy grave, la multa que se impondrá será:
b.1.1) Si el infractor es una persona jurídica, su importe será de hasta la mayor de las siguientes cantidades: 1.º 5.000.000 de euros. 2.º El cinco por ciento del volumen de negocios anual total de la persona jurídica según las últimas cuentas disponibles aprobadas por el órgano de administración. 3.º El quíntuplo del importe de los beneficios obtenidos o de las pérdidas evitadas mediante la infracción, en el caso de que puedan determinarse.
b.1.2) Si el infractor es una persona física, su importe será de hasta la mayor de las siguientes cantidades: 1.º 1.000.000 de euros. 2.º El quíntuplo del importe de los beneficios obtenidos o de las pérdidas evitadas mediante la infracción, en el caso de que puedan determinarse.
b.2) En el caso de incumplimientos de las obligaciones o prohibiciones previstas en el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, que constituyan infracción grave, la multa que se impondrá será:
b.2.1) Si el infractor es una persona jurídica, su importe será de hasta la mayor de las siguientes cantidades: 1.º 2.500 000 de euros. 2.º El tres por ciento del volumen de negocios anual total de la persona jurídica según las últimas cuentas disponibles aprobadas por el órgano de administración. 3.º El doble del importe de los beneficios obtenidos o de las pérdidas evitadas mediante la infracción, en el caso de que puedan determinarse.
b.2.2) Si el infractor es una persona física, su importe será de hasta la mayor de las siguientes cantidades: 1.º 500.000 euros. 2.º El doble del importe de los beneficios obtenidos o de las pérdidas evitadas mediante la infracción, en el caso de que puedan determinarse.
El artículo 324 de la LMVSI añade que “sin perjuicio de las sanciones descritas en los apartados anteriores, la CNMV también podrá imponer las sanciones que sean de aplicación de entre las contempladas en los artículos 312 y 313 de esta ley, y en concreto en los apartados 5, 6, 7, 9, 10 y 13 del artículo 312”. Y que “le será garantizado a la CNMV el acceso a cualquier documento o a los datos bajo cualquier forma que considere pertinentes para el ejercicio de sus funciones”.
B) Ajuste temporal de la adaptación al DORA del régimen sancionador aplicable a las empresas de servicios de inversión
Por último y dado que este Reglamento europeo sobre resiliencia operativa digital no resultaba aplicable cuando se publicó la LMVSI (18 de marzo de 2023) -porque DORA será aplicable a partir del 17 de enero de 2025– es preciso realizar un ajuste temporal en el apartado 4 de la Disposición final decimocuarta de la LMVSI que dice: “Los artículos (…) 308, (…) y 324 entrarán en vigor cuando lo haga el (…) Reglamento (UE) del Parlamento Europeo y del Consejo, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014 y (UE) n.º 909/2014”.
C) Otras adaptaciones de las Sociedades Gestoras de IIC y de EIC a la resiliencia operativa digital
Nos parece interesante poner punto final a esta entrada refiriéndonos a otras adaptaciones del régimen de las Sociedades Gestoras de IIC y de EIC a la nueva regulación de la resiliencia operativa digital (en sentido amplio):
a) Las Sociedades Gestoras de IIC
La disposición final cuarta de la LMVSI modifica, entre otros, el apartado 1 del artículo 43 de la Ley 35/2003, de 4 de noviembre, de Instituciones de Inversión Colectiva estableciendo que las SGIIC deberán reunir, entre otros, los siguientes requisitos para obtener y conservar la autorización: “j) Que cuente con procedimientos y mecanismos de control interno adecuados que garanticen la gestión correcta y prudente de la sociedad, incluyendo procedimientos de gestión de riesgos, así como mecanismos de control y de seguridad en el ámbito informático y órganos y procedimientos para la prevención del blanqueo de capitales y de la financiación del terrorismo, un régimen de operaciones vinculadas y un reglamento interno de conducta. El reglamento interno de conducta no deberá ser aportado a la CNMV con carácter previo a su aplicación, aunque estará a disposición de la misma siempre que este organismo lo requiera. La sociedad gestora deberá estar estructurada y organizada de modo que se reduzca al mínimo el riesgo de que los intereses de las IIC o de los clientes se vean perjudicados por conflictos de intereses entre la sociedad y sus clientes, entre clientes, entre uno de sus clientes y una IIC o entre dos IIC”.
b) Las Sociedades Gestoras de EIC
La disposición final novena de la LMVSI modifica, entre otros, el artículo 48 de la Ley 22/2014, de 12 de noviembre, por la que se regulan las entidades de capital-riesgo, otras entidades de inversión colectiva de tipo cerrado y las sociedades gestoras de entidades de inversión colectiva de tipo cerrado, y por la que se modifica la Ley 35/2003, de 4 de noviembre, de Instituciones de Inversión Colectiva estableciendo que las SGEIC deben reunir, entre otros, los requisitos de la autorización siguientes: “3.º A fin de cubrir los posibles riesgos derivados de la responsabilidad profesional en relación con las actividades que puedan realizar las SGEIC, las SCR o SICC autogestionadas, deberán: (…) c) Deberá contar con una buena organización administrativa y contable, así como con los medios humanos y técnicos, incluidos mecanismos de seguridad en el ámbito informático y procedimientos de control interno y de gestión, control de riesgos, procedimientos y órganos para la prevención del blanqueo de capitales y normas de conducta, adecuados a las características y al volumen de su actividad”.
Nota bibliográfica: el lector interesado en profundizar en el conocimiento de esta materia y, especialmente, en el DORA puede consultar las 4 entradas que publicamos en este blog los días 6,7,9 y 10 de febrero de este año con el título común de “DORA. Ley Europea de Resiliencia Operativa Digital del Sector Financiero. Reglamento (UE) 2022/2554”; la entrada del 17 de marzo pasado, dedicada a dar cuenta de “La nueva Ley de los Mercados de Valores y de los Servicios de Inversión: aprobación del Proyecto de Ley por los Plenos del Congreso y del Senado (2): Aspectos generales y ejes cardinales”. Así como nuestro artículo sobre “Los 20 principios básicos de la ley europea de resiliencia Operativa Digital del Sector Financiero (DORA)”, publicado en el Diario La Ley, n.º 10262, Sección Tribuna, 5 de abril de 2023 y nuestro estudio sobre la “Supervisión y sanción de la resiliencia operativa digital del sector financiero en Europa. Reglamento (UE) 2022/2554. DORA”, publicado en la Revista Iberoamericana del Mercados de Valores (RIMV) n.º 68 (2023), pp. 24-32.