El Reglamento de Resiliencia Operativa Digital (DORA) es una normativa de la UE de reciente aplicación cuyo objetivo es mejorar la resiliencia digital de las entidades financieras y sus proveedores de servicios a terceros. Por su parte, el Reglamento General de Protección de Datos (RGPD) regula cómo las organizaciones recopilan, almacenan, procesan y protegen los datos personales de particulares dentro de la UE.
Ambas normativas pretenden reforzar la seguridad y proteger a organizaciones y personas físicas en el espacio digital. Comprender las diferencias y similitudes entre la DORA y el RGPD es crucial para las instituciones que operan en la UE, especialmente a medida que crece la dependencia digital y con ella el riesgo de ciberamenazas.
Esta guía explorará los conceptos de DORA vs. RGPD, tratando sus definiciones, propósitos, diferencias clave, similitudes e implicaciones empresariales.
¿Qué es DORA?
El Reglamento de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) es una normativa de ciberseguridad de la UE diseñada para reforzar la resiliencia operativa de las entidades financieras (como bancos, empresas de inversión y compañías de seguros) y sus proveedores de servicios externos (incluidos los proveedores de servicios de información de datos y en la nube).
Reconoce la creciente dependencia del sector financiero de la tecnología digital y los consiguientes riesgos para la seguridad. DORA ofrece un enfoque estandarizado que abarca cinco pilares clave para garantizar la coherencia en las prácticas de resiliencia de las TIC en todo el sector:
- Gestión de riesgos TIC: fomentar la comprensión de los riesgos de las TIC y establecer estrategias o marcos de gestión sólidos para mitigar los ciberriesgos y garantizar la continuidad de la actividad.
- Notificación de incidentes relacionados con las TIC: obligación de notificar los incidentes relacionados con las TIC a las autoridades reguladoras en un plazo definido.
- Pruebas de resiliencia operativa digital: pruebas periódicas de los sistemas informáticos para evaluar la resiliencia e identificar vulnerabilidades, incluyendo pruebas de penetración, red teaming y otras evaluaciones de seguridad.
- Gestión de riesgos de terceros en las TIC: supervisión atenta de los proveedores de servicios externos, con cláusulas contractuales claras sobre gestión de riesgos y normas de seguridad.
- Intercambio de información e inteligencia: intercambio de información sobre amenazas a la ciberseguridad para mejorar la resistencia colectiva de todo el sector.
Requisitos y plazos de cumplimiento del DORA
Dado que el DORA es una normativa obligatoria para todas las entidades financieras y sus proveedores de servicios a terceros en la UE, su incumplimiento puede acarrear multas y daños a la reputación. El DORA entró plenamente en vigor el 17 de enero de 2025, lo que significa que en la actualidad las organizaciones deben adherirse a sus normas. Estos son los principales requisitos de cumplimiento y los plazos a tener en cuenta:
- Gestión de riesgos de las TIC
- Supervisión de terceros
- Notificación de incidentes
- Gobernanza
- Documentación del sistema
- Contratos con proveedores
- Riesgos de concentración
- Supervisión
- Formación de los empleados
- Mejora continua
Antes del 30 de abril de 2025, las instituciones financieras deben presentar su Registro de Información, incluida la documentación de los proveedores de TIC, las funciones críticas y los acuerdos de subcontratación. En el futuro, se requerirán informes trimestrales y anuales sobre los incidentes de TIC en curso, las métricas de resiliencia y las evaluaciones de pruebas a lo largo del año.
¿Qué es RGPD?
El Reglamento General de Protección de Datos (RGPD) es una ley de la UE que regula la recopilación, el tratamiento y la protección de los datos personales de todas las personas en el marco de la Unión Europea. Está ampliamente considerada como la ley de privacidad y seguridad más estricta del mundo, ya que impone obligaciones a cualquier empresa del mundo que procese datos personales de ciudadanos de la UE, independientemente de su ubicación. Este Reglamento otorga a los ciudadanos de la UE un mayor control sobre sus datos personales y el uso que las organizaciones hacen de ellos.
Echemos un vistazo a los siete principios básicos del GDPR:
- Licitud, lealtad y transparencia: la recogida y el tratamiento de datos personales deben realizarse de forma legal, imparcial y abierta al interesado.
- Limitación de la finalidad: la recogida de datos debe realizarse únicamente con fines específicos y legítimos, que deben comunicarse claramente al interesado en el momento de la recogida.
- Minimización de datos: solo deben recopilarse los datos mínimos necesarios para cumplir los fines especificados.
- Exactitud: los datos deben mantenerse exactos y actualizados.
- Limitación del plazo de conservación: los datos solo deben almacenarse si es necesario y las organizaciones deben eliminarlos cuando ya no se necesiten.
- Integridad y confidencialidad: las organizaciones deben procesar los datos de forma segura, garantizando su integridad y confidencialidad al tiempo que los protegen de infracciones y accesos no autorizados.
- Responsabilidad proactiva: las organizaciones deben demostrar el cumplimiento del RGPD mediante la adhesión a estos principios.
Requisitos de cumplimiento y sanciones del RGPD
El cumplimiento del RGPD va más allá de respetar los requisitos enumerados; implica evidenciar las políticas y los procedimientos que las organizaciones aplican para defender sus principios fundamentales. Veamos ahora un análisis pormenorizado de los requisitos de cumplimiento del RGPD:
- Licitud y transparencia: las organizaciones deben mantener un registro actualizado de las actividades de tratamiento de datos, los detalles de acceso y las medidas de protección, incluidas las políticas de conservación. Para tratamientos de alto riesgo, el RGPD exige una Evaluación del Impacto en la Protección de Datos (EIPD), realizada idealmente durante la planificación del proyecto. Aunque no siempre es obligatoria, demuestra el cumplimiento del RGPD. En caso de contar con un delegado de protección de datos (DPD), este debe ser consultado para asegurar la conformidad con la normativa.
- Seguridad de los datos: las organizaciones deben aplicar medidas técnicas y organizativas para proteger los datos, como el cifrado y la anonimización. También deben formar al personal en los procedimientos de tratamiento de datos y mantener registros de esta formación. Además, las organizaciones deben tener un protocolo claro para responder a las brechas de datos que expongan datos personales y deben informar de ellas en un plazo de 72 horas.
- Responsabilidad proactiva y gobernanza: las organizaciones deben designar a un responsable del cumplimiento del RGPD que supervise la aplicación y actúe como principal punto de contacto. Esta persona debe ser experta en el RGPD, las leyes de protección de datos y su aplicación. Generalmente se recomienda un delegado de protección de datos (DPD) para esta función.
- Derechos de privacidad: las organizaciones deben asegurarse de que los titulares de los datos comprenden sus derechos en relación con la privacidad de los datos. Esto incluye solicitar copias de sus datos personales e invocar su «derecho al olvido», que les permite solicitar la supresión permanente de los datos. Las organizaciones deben garantizar que se da curso a estas solicitudes y deben ser transparentes sobre estos procesos.
- Noción de consentimiento: las organizaciones deben implementar un sistema de consentimiento que permita a los interesados dar su consentimiento explícito antes de que se recopilen los datos. No se permiten las casillas marcadas previamente. Las opciones de consentimiento deben proporcionarse por separado de los términos y condiciones y de diferentes maneras. Además, las organizaciones deben mantener registros del consentimiento obtenido.
Es importante tener en cuenta que el incumplimiento del RGPD puede acarrear graves sanciones económicas de hasta 20 millones de euros o el 4 % de los ingresos globales anuales (la cifra que sea más alta).
QUIZÁ TE INTERESE: Por qué NinjaOne protege la privacidad del cliente para cumplir con el RGPD
DORA vs. RGPD: las principales diferencias
El DORA y el RGPD comparten el objetivo común de garantizar la seguridad de los datos y la protección de los interesados. Sin embargo, tienen perspectivas distintas que es importante comprender. Estas son las principales diferencias entre DORA vs. RGPD.
Alcance del DORA vs. RGPD
El DORA se centra en la resiliencia operativa de las TIC, proporcionando un marco armonizado para que las instituciones financieras y sus proveedores externos se protejan contra los riesgos de ciberseguridad y TIC que podrían interrumpir las operaciones.
Por otro lado, el RGPD se centra en la privacidad y protección de datos, regulando la recogida, tratamiento, almacenamiento e intercambio de datos personales de los individuos en la UE. El RGPD da prioridad a los derechos de los usuarios, con el objetivo de evitar el uso indebido de los datos y garantizar prácticas transparentes en su tratamiento.
Enfoque del DORA vs. RGPD
Lo que diferencia al DORA del RGPD es su especial atención en la gestión de riesgos de ciberseguridad. El DORA reconoce la creciente dependencia de las instituciones financieras de la tecnología digital, así como los crecientes riesgos. Su objetivo es garantizar la seguridad de las operaciones digitales y la resiliencia frente a las ciberamenazas.
En cambio, el RGPD prioriza la privacidad de los datos personales, dando a los usuarios más control sobre su información personal, independientemente de la empresa o industria con la que interactúen en todo el mundo.
Entidades sujetas al DORA vs. RGPD
El DORA se aplica a entidades financieras como bancos, aseguradoras, empresas de inversión, entidades de crédito, proveedores de servicios de criptoactivos y procesadores de pagos, así como a proveedores de servicios TIC de terceros, incluidos proveedores de servicios en la nube, centros de datos y proveedores de software dentro de la UE.
Mientras tanto, el RGPD se aplica a cualquier organización del mundo que procese datos personales de ciudadanos de la UE, independientemente de su ubicación.
Cumplimiento del DORA vs. RGPD
El cumplimiento del DORA se centra en la aplicación de sólidos marcos de gestión de riesgos de las TIC, que incluyen supervisión continua, pruebas de ciberseguridad, notificación de incidentes y garantía de que los proveedores externos cumplen las normas de seguridad.
Por su parte, el cumplimiento del RGPD abarca medidas más amplias de protección de datos, incluida la gestión de datos personales. Exige que las organizaciones demuestren cómo facilitan el acceso a los datos y su portabilidad, el almacenamiento seguro y el cifrado, las solicitudes de eliminación de datos y las notificaciones de infracciones.
Aplicación normativa del DORA vs. RGPD
El DORA es supervisado y aplicado por autoridades reguladoras financieras como la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ), la Autoridad Europea de Valores y Mercados (AEVM) y los reguladores financieros nacionales.
El cumplimiento del RGPD corre a cargo de las autoridades de protección de datos, como el Consejo Europeo de Protección de Datos (CEPD), las agencias nacionales de protección de datos de cada Estado miembro de la UE y las autoridades de control.
Similitudes entre el DORA y el RGPD
Aunque el DORA y el RGPD parten de perspectivas diferentes, comparten aspectos que los hacen complementarios entre sí. Algunas de las principales similitudes entre el DORA y el RGPD incluyen:
La gestión de riesgos y la notificación de incidentes
Tanto el DORA como el RGPD se establecieron para hacer frente a los crecientes riesgos en el espacio digital en expansión. Estos reglamentos imponen marcos sólidos de gestión de riesgos a las entidades incluidas en su ámbito de aplicación.
Además, ambos exigen la notificación de incidentes en plazos estrictos para garantizar la mejora continua de la gestión de riesgos. El DORA obliga a notificar los incidentes de ciberseguridad a los organismos reguladores en unos plazos determinados, mientras que el RGPD exige a las organizaciones que notifiquen las brechas de datos en un plazo de 72 horas.
Estrictos requisitos de cumplimiento y sanciones
Existen enormes diferencias entre los requisitos de cumplimiento del DORA y del RGPD. Sin embargo, en ambos casos se trata de estándares estrictos. El DORA exige pruebas de resistencia, marcos de seguridad y auditorías de cumplimiento, mientras que el RGPD se centra en las políticas de privacidad de datos, el cifrado, el consentimiento y la gestión del tratamiento de datos.
Ambos reglamentos también imponen sanciones graves. El DORA incluye multas severas, restricciones empresariales y consecuencias jurídicas, mientras que el RGPD impone multas de hasta 20 millones de euros o el 4 % de los ingresos globales, junto con posibles daños a la reputación en caso de infracción.
Proteger a consumidores y empresas de las ciberamenazas
Por encima de todo, el DORA y el RGPD comparten el mismo objetivo: proteger a los consumidores y a las empresas de las ciberamenazas. Ambas normativas proporcionan directrices normalizadas para ayudar a las entidades a protegerse a sí mismas y a sus consumidores mientras emplean la tecnología digital para sus operaciones diarias, ya que la tecnología sigue evolucionando y haciéndose más compleja.
Implicaciones para las empresas
DORA y RGPD son normativas complejas con un impacto significativo en las empresas. Su incumplimiento puede acarrear graves sanciones y dañar la reputación, integridad y fiabilidad de una empresa. Sin embargo, el cumplimiento ayuda a crear un entorno seguro para las instituciones, su personal y los consumidores, garantizando la confianza y la resiliencia.
Cómo prepararse para el cumplimiento de DORA y RGPD
Las organizaciones deben comprender los principios básicos de ambas normativas y desarrollar marcos integrales para mantenerlas en los niveles más altos.
En el caso del DORA, las instituciones financieras deben establecer marcos de gestión de riesgos de TIC, pruebas de resistencia y planes de respuesta a incidentes, y asegurarse de que los proveedores externos cumplen los requisitos de seguridad del DORA.
En el caso del RGPD, las organizaciones deben implantar planes de protección de datos, gestión del consentimiento y políticas de tratamiento de datos, y aplicar fuertes controles de cifrado y acceso para salvaguardar los datos personales.
Requisitos de cumplimiento del DORA y el RGPD que se solapan
Dado que ambas normativas comparten un objetivo común, existen requisitos que se solapan y que pueden beneficiar a las entidades obligadas a cumplir ambas. DORA y RGPD son estrictos en la notificación de incidentes, las evaluaciones de riesgos y la supervisión continua. Las organizaciones deben alinear sus políticas de seguridad, cumplimiento y privacidad para garantizar un enfoque unificado de la protección de datos y la ciberseguridad.
Además, las entidades financieras cubiertas por el DORA también están sujetas al RGPD. Quienes manejen datos tanto financieros como personales deben integrar las medidas de ciberseguridad del DORA junto con los principios de protección de datos del RGPD.
El papel de la seguridad de TI, los equipos jurídicos y los responsables de cumplimiento para garantizar el cumplimiento
Los equipos de seguridad de TI son responsables de vigilar, prevenir y responder a las ciberamenazas, así como de aplicar medidas de seguridad de los datos para mantener un entorno digital seguro. Trabajan en estrecha colaboración con los equipos jurídicos y de cumplimiento normativo, que garantizan el pleno cumplimiento de todos los requisitos reglamentarios en virtud de DORA y RGPD.
DORA vs. RGPD: conclusiones
La Unión Europea está comprometida con la lucha contra los riesgos de ciberseguridad, y tanto DORA como RGPD como pasos importantes hacia la seguridad del sector financiero digital. El DORA ayuda al sector financiero a gestionar las complejidades digitales y los riesgos operativos, garantizando la resiliencia en las operaciones diarias. Por su parte, el RGPD se centra en la protección de los individuos, creando un entorno digital seguro en el que los datos de los ciudadanos de la UE estén protegidos y estos tengan control sobre su información personal.
Para las empresas que navegan por ambas normativas, la adopción de un enfoque integrado que alinee la gestión de riesgos de las TIC con los principios de protección de datos puede contribuir en gran medida a los esfuerzos de cumplimiento. También debe observarse estrictamente la colaboración interfuncional entre los equipos de seguridad informática, jurídicos y de cumplimiento para garantizar la plena adhesión al DORA y al RGPD.
Para más información, consulta los recursos que figuran a continuación.
- ¿Qué es el Reglamento de Resiliencia Operativa Digital (DORA)?
- ¿Qué es el RGPD, la nueva ley de protección de datos de la UE?
- Sinergias entre DORA y RGPD: un enfoque integral de la seguridad de los datos
Preguntas más frecuentes (FAQ)
-
¿Cómo afecta el DORA a las entidades financieras?
El DORA impone medidas de ciberseguridad y gestión de riesgos TIC más estrictas a las entidades financieras y sus proveedores de servicios externos. Su objetivo específico es prevenir las ciberamenazas y los fallos operativos en el sector financiero.
-
¿Se aplica el RGPD a la ciberseguridad?
Sí, el RGPD tiene fuertes requisitos de ciberseguridad relacionados con la protección de datos, el cifrado y la notificación de infracciones. Su interés primordial por la privacidad de los datos exige la integración de las mejores prácticas de ciberseguridad.
-
¿Qué empresas deben cumplir el DORA?
El DORA se aplica a todas las entidades financieras de la UE, así como a sus terceros proveedores de servicios de apoyo al sector financiero.