COMISIÓN EUROPEA

Bruselas, 28.6.2023

COM(2023) 360 final

2023/0205(COD)

Propuesta de

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

relativo a un marco para el acceso a los datos financieros y por el que se modifican los Reglamentos (UE) n.º 1093/2010, (UE) n.º 1094/2010, (UE) n.º 1095/2010 y (UE) 2022/2554

(Texto pertinente a efectos del EEE)

{SEC(2023) 255 final} - {SWD(2023) 224 final} - {SWD(2023) 230 final}

EXPOSICIÓN DE MOTIVOS

1.CONTEXTO DE LA PROPUESTA

•Razones y objetivos de la propuesta

 A fin de obtener los mejores resultados en el marco de una economía de los datos que funcione para las personas y las empresas, Europa debe encontrar un equilibrio entre el flujo y el uso generalizado de los datos y la preservación de unas normas estrictas en materia de privacidad, protección, seguridad y ética. En su Comunicación sobre una Estrategia Europea de Datos 1 , la Comisión expuso cómo la UE debería crear un entorno político atractivo para que, de aquí a 2030, su cuota en la economía de los datos corresponda al menos a su peso económico.

En el ámbito financiero, la Comisión señaló la promoción de un sector financiero basado en los datos como una de las prioridades de su estrategia de finanzas digitales de 2020 2 y anunció su intención de presentar una propuesta legislativa sobre un marco para el acceso a los datos financieros. La Comunicación de 2021 sobre una Unión de los Mercados de Capitales 3 confirmó la ambición de la Comisión de intensificar sus esfuerzos en la promoción de los servicios financieros basados en datos. También anunció la creación del Grupo de Expertos sobre el Espacio Europeo de Datos Financieros para contribuir a una primera serie de casos de uso. Más recientemente, la presidenta de la Comisión, Ursula Von der Leyen, confirmó en su carta de intenciones del estado de la Unión de 2022 que el acceso a los datos en los servicios financieros es una de las nuevas iniciativas clave para 2023.

En la actualidad, los clientes del sector financiero de la UE no pueden tener un control eficaz sobre el acceso y el intercambio de sus datos más allá de las cuentas de pago. Los usuarios de datos, es decir, las empresas que desean acceder a los datos de los clientes para prestar servicios innovadores, tienen problemas para acceder a los datos en poder de los titulares de datos, en particular las entidades financieras que recopilan, almacenan y tratan dichos datos de los clientes. Como consecuencia de ello, incluso cuando los clientes así lo desean, no tienen un acceso generalizado a servicios y productos financieros basados en datos. Este acceso limitado a los datos se debe a un conjunto de problemas interrelacionados. En primer lugar, a falta de normas y herramientas para gestionar los permisos de intercambio de datos, los clientes no confían en que se estén abordando los posibles riesgos de compartir datos. Por lo tanto, a menudo son reacios a compartirlos. En segundo lugar, aunque quieran compartir sus datos, las normas que rigen dicho intercambio son inexistentes o poco claras. En consecuencia, los titulares de datos, como las entidades de crédito, las aseguradoras y otras entidades financieras que poseen datos de clientes, no siempre están obligados a permitir el acceso de los usuarios de los datos, como, por ejemplo, las empresas de tecnología financiera, es decir, las empresas que utilizan la tecnología para apoyar o prestar servicios financieros, o las entidades financieras que prestan servicios financieros y desarrollan productos financieros sobre la base del intercambio de datos con sus datos. En tercer lugar, el intercambio de datos resulta más costoso, ya que tanto los propios datos como la infraestructura técnica no están normalizados y, por lo tanto, existen diferencias significativas.

La presente propuesta tiene por objeto abordar estos problemas permitiendo a los consumidores y a las empresas tener un mejor control del acceso a sus datos financieros. Esto permitiría a los consumidores y a las empresas beneficiarse de productos y servicios financieros adaptados a sus necesidades sobre la base de los datos pertinentes para ellos, evitando al mismo tiempo los riesgos inherentes.

El objetivo general de la presente propuesta es mejorar los resultados económicos para los clientes de servicios financieros (consumidores y empresas) y las empresas del sector financiero, promoviendo la transformación digital y acelerando la adopción de modelos de negocio basados en datos en el sector financiero de la UE. Una vez conseguido, los consumidores que lo deseen podrán acceder a productos y servicios personalizados basados en datos que puedan adaptarse mejor a sus necesidades específicas. Las empresas, en particular las PYME, disfrutarían de un acceso más amplio a los productos y servicios financieros. Las entidades financieras podrían aprovechar plenamente las tendencias de transformación digital, mientras que los proveedores terceros de servicios disfrutarían de nuevas oportunidades de negocio ligadas a la innovación basada en los datos. Los consumidores y las empresas tendrán acceso a sus datos financieros para que los usuarios de datos puedan ofrecer productos y servicios financieros mejor adaptados a las necesidades de los clientes y las empresas.

La propuesta no implica un ahorro de costes administrativos, ya que se trata de una nueva legislación que no modifica normas anteriores de la UE. Por la misma razón, tampoco se trata de una iniciativa incluida en el programa de adecuación y eficacia de la reglamentación (REFIT) de la Comisión destinada a garantizar que la legislación de la UE cumpla sus objetivos con un coste mínimo en beneficio de los ciudadanos y las empresas.

•Coherencia con las disposiciones existentes en la misma política sectorial

La presente propuesta se basa en la Directiva revisada sobre servicios de pago (DSP2), que permitió el intercambio de datos sobre cuentas de pago («banca abierta»). La presente propuesta permite intercambiar un conjunto más amplio de datos de servicios financieros y establece las normas con arreglo a las cuales se va a alcanzar dicho intercambio de datos. También establece las normas aplicables a los participantes en el mercado que vayan a participar en esta actividad.

•Coherencia con otras políticas de la Unión

La presente propuesta se ajusta al Reglamento general de protección de datos (RGPD), que establece las normas generales sobre el tratamiento de datos personales relativos a un interesado y garantiza la protección de los datos personales, así como la libre circulación de dichos datos.

La presente propuesta es también un componente sectorial que se inscribe en la Estrategia Europea de Datos más general y permite el intercambio de datos dentro del sector financiero y con otros sectores. Se basa en los principios clave para el acceso y el tratamiento de datos establecidos en las iniciativas intersectoriales de la Comisión. La Ley de Gobernanza de Datos se centra en aumentar la confianza en el intercambio de datos y mejorar la interconexión ininterrumpida («interoperabilidad») entre espacios de datos y en crear un marco para los proveedores de servicios de intermediación de datos. Otra iniciativa intersectorial es la Ley de Mercados Digitales, que establece una serie de obligaciones relacionadas con los datos para hacer frente al poder de las plataformas guardianas de acceso y garantizar la disputabilidad en los mercados digitales, por ejemplo, permitiendo que las entidades financieras accedan a los datos en poder de los guardianes de acceso en nombre de sus clientes o al utilizar los servicios básicos de las plataformas guardianas de acceso. Otra iniciativa intersectorial es la propuesta de una Ley de Datos 4 que establecería nuevos derechos de acceso a los datos de la internet de las cosas (IdC), es decir, los datos que los productos obtienen, generan o recopilan en relación con su rendimiento, uso o entorno, tanto para los usuarios de productos como para los proveedores de servicios conexos. También establece obligaciones de aplicación general para los titulares de datos, que están obligados a poner los datos a disposición de los destinatarios de los datos en virtud del Derecho de la UE o de la legislación nacional adoptada de conformidad con el Derecho de la UE.

La presente propuesta complementa también la estrategia de inversión minorista de la UE 5 . Apoyará su objetivo de mejorar el funcionamiento del marco de protección de los inversores minoristas proporcionando salvaguardias en el uso de los datos de los inversores minoristas en los servicios financieros. Además, garantiza el cumplimiento de las normas sobre ciberseguridad y resiliencia operativa en el sector financiero, tal como se establece en el Reglamento sobre la resiliencia operativa digital del sector financiero, que entró en vigor el 16 de enero de 2023.

2.BASE JURÍDICA, SUBSIDIARIEDAD Y PROPORCIONALIDAD

•Base jurídica

El Tratado de Funcionamiento de la Unión Europea (TFUE) confiere a las instituciones de la Unión la facultad para establecer normas sobre la aproximación de las legislaciones de los Estados miembros que tengan por objeto el establecimiento y el funcionamiento del mercado interior (artículo 114 del TFUE). Esto incluye la facultad de promulgar legislación de la UE para aproximar los requisitos sobre el uso cada vez más importante de los datos para las entidades financieras, ya que, de otro modo, las entidades financieras que operan a través de las fronteras se enfrentarían a requisitos nacionales divergentes, lo que haría que la actividad transfronteriza fuera más costosa. La creación de normas comunes para el intercambio de datos en el sector financiero contribuirá al funcionamiento del mercado interior. Unas normas comunes garantizarán un marco regulador armonizado sobre la gobernanza de los datos financieros, en consonancia con la Estrategia Europea de Datos. La mejor manera de lograr estos resultados es mediante la adopción de un Reglamento directamente aplicable en los Estados miembros.

•Subsidiariedad (en el caso de competencia no exclusiva)

La economía de los datos forma parte integrante del mercado interior. Los flujos de datos constituyen una parte esencial de las actividades digitales y reflejan las cadenas de suministro existentes y las colaboraciones entre empresas y consumidores. Cualquier iniciativa destinada a organizar estos flujos de datos debe aplicarse al mercado interior en su conjunto. Dado que los titulares de datos son por lo general entidades financieras autorizadas sujetas a un conjunto amplio y detallado de normas establecidas en gran medida mediante reglamentos y mecanismos de supervisión directamente aplicables para los que se garantiza la convergencia a escala de la UE, es necesario actuar a escala de la UE para establecer condiciones comunes y preservar la igualdad de condiciones entre las entidades financieras a fin de salvaguardar la integridad del mercado, la protección de los consumidores y la estabilidad financiera. Otra razón para actuar a escala de la UE es el alto nivel de integración del sector financiero. Las entidades financieras también realizan una actividad transfronteriza significativa.

Los problemas descritos en la evaluación de impacto que acompaña a la presente propuesta son comunes a todos los Estados miembros de la UE. La regulación de los servicios financieros es una competencia compartida entre la UE y sus Estados miembros. Estas cuestiones no pueden ser resueltas por los Estados miembros por sí solos, dado que los titulares y los usuarios potenciales de los datos de los clientes en el ámbito financiero operan a menudo en varios Estados miembros. Por lo tanto, un cliente puede tener datos en poder de entidades financieras de diferentes Estados miembros. Para mejorar la confianza y permitir el uso integrado de esos datos, todas estas entidades financieras tendrían que regirse por el mismo marco jurídico y las mismas normas técnicas. Unas normas nacionales individuales darían lugar al solapamiento de requisitos y a costes de cumplimiento desproporcionadamente elevados para las empresas, sin ser lo más beneficioso para las empresas y los consumidores.

•Proporcionalidad

De acuerdo con el principio de proporcionalidad, la propuesta no excede de lo necesario para alcanzar sus objetivos. Solo cubre los aspectos en los que la carga administrativa y los costes son proporcionales a los objetivos que deben alcanzarse. Por ejemplo, el diseño propuesto se ha realizado con el mayor cuidado para garantizar la proporcionalidad en términos de alcance y rigor. Se basa en criterios cualitativos y cuantitativos de evaluación para garantizar que las nuevas normas tengan un efecto amplio. El anexo 5 de la evaluación de impacto adjunta explica cómo el objetivo de la proporcionalidad ha guiado la selección de los conjuntos de datos. El anexo 8 de la evaluación de impacto adjunta explica las medidas adoptadas para garantizar un impacto proporcionado en las PYME.

•Elección del instrumento

La presente propuesta debe adoptar la forma de un Reglamento directamente aplicable en todos los Estados miembros. Con ello se pretende garantizar que se apliquen normas comunes en todos los Estados miembros sobre las condiciones de acceso y tratamiento de los datos de los clientes de los servicios financieros.

3.RESULTADOS DE LAS EVALUACIONES EX POST, DE LAS CONSULTAS CON LAS PARTES INTERESADAS Y DE LAS EVALUACIONES DE IMPACTO

•Evaluaciones ex post / controles de la adecuación de la legislación existente

Esta nueva propuesta no se basa directamente en legislación existente. Se basa parcialmente en el régimen de banca abierta establecido en la Directiva (UE) 2015/2366, pero crea un nuevo derecho de acceso a los datos para conjuntos de datos que no estaban cubiertos anteriormente por ningún otro marco legislativo de la UE.

•Consultas con las partes interesadas

El 10 de mayo de 2022, la Comisión Europea puso en marcha una convocatoria de datos sobre el acceso a los datos financieros. La convocatoria de datos se cerró el 2 de agosto de 2022, recogiendo 79 respuestas. Las personas que respondieron a título individual expresaron su preocupación por el intercambio de datos en ausencia de un marco que adoptara salvaguardias claras, como paneles de control de privacidad, una delimitación clara de su ámbito de aplicación y unas condiciones de competencia equitativas entre los participantes en el mercado. Las empresas fueron bastante positivas mientras se establecieran las salvaguardias adecuadas. La convocatoria de datos puso de manifiesto que, si se diseña correctamente, el acceso a los datos financieros podría tener un impacto positivo.

El 10 de mayo de 2022, la Comisión Europea también puso en marcha una consulta pública conjunta sobre la revisión de la Directiva sobre servicios de pago revisada (DSP2) y el acceso a los datos financieros. El período de consulta pública concluyó el 2 de agosto de 2022. Las respuestas sobre el acceso a los datos financieros confirmaron las opiniones expresadas en la convocatoria de datos. Si bien la mayoría del público en general que respondió quería compartir sus datos sobre la base del firme consentimiento/acuerdo de los consumidores, se expresaron algunas preocupaciones sobre el intercambio de datos financieros. Estas preocupaciones se basaban en la falta de confianza en la privacidad, la protección de datos y las cuestiones de seguridad digital, y en la sensación general de no controlar cómo se utilizan sus datos.

Las partes interesadas profesionales (usuarios corporativos, empresas de tecnología financiera, organizaciones de consumidores, autoridades públicas pertinentes y reguladores nacionales) se mostraron más favorables al intercambio de datos y mencionaron los beneficios para la experiencia de los clientes en términos de aumento de la competencia y la innovación para los productos y servicios financieros. Una minoría significativa de encuestados profesionales también expresó su preocupación por la competencia, la seguridad y el uso indebido de los datos.

El 10 de mayo de 2022, la Comisión también puso en marcha una consulta específica sobre el acceso a los datos financieros y el intercambio de datos en el sector financiero. La consulta específica finalizó el 5 de julio de 2022, recogiendo 94 respuestas de partes interesadas profesionales.

El objetivo de la consulta específica era recabar la contribución de expertos en relación con el intercambio de datos en el ámbito de las finanzas. Entre las partes interesadas profesionales consultadas figuraban entidades financieras, vendedores de datos, empresas de tecnología financiera, usuarios corporativos, asociaciones de protección de los consumidores, así como autoridades públicas pertinentes y reguladores nacionales. En general, las respuestas pusieron de relieve que la mayoría de los encuestados profesionales ven los beneficios potenciales de un marco jurídico para el acceso a los datos financieros y, por tanto, apoyan la intervención reguladora en algunos ámbitos. Sin embargo, las respuestas a la consulta específica sugieren que las opiniones de las partes interesadas difieren sustancialmente y que el apoyo de los consumidores y los titulares de datos depende de cómo se acceda a dichos datos y cómo estos sean compartidos.

•Obtención y uso de asesoramiento especializado

El 24 de octubre de 2022, la Comisión recibió un informe sobre finanzas abiertas del Grupo de Expertos sobre el Espacio Europeo de Datos Financieros. El grupo de expertos reúne a expertos del mundo académico, los consumidores y la industria (incluidos de la banca, los seguros, las pensiones, la inversión, así como proveedores terceros y empresas de tecnología financiera). El informe describe los componentes clave de un ecosistema de finanzas abiertas según la visión del grupo de expertos (accesibilidad de los datos, protección de datos, normalización de datos, responsabilidad, condiciones de competencia equitativas y agentes clave) y expone consideraciones sobre cada elemento, al tiempo que presenta opiniones divergentes dentro del grupo. Para ilustrar los retos y oportunidades de las finanzas abiertas, el Grupo de Expertos ha evaluado varios casos de uso específicos que se detallan en el informe. Los casos de uso y las conclusiones del informe se utilizaron para desarrollar esta propuesta, en particular para determinar los datos incluidos en el ámbito de aplicación de la propuesta.

•Evaluación de impacto

La propuesta va acompañada de una evaluación de impacto, que se presentó al Comité de Control Reglamentario (CCR) de la Comisión el 3 de febrero de 2023 y se aprobó el 3 de marzo de 2023. El CCR recomendó mejoras en algunos ámbitos para reforzar la base empírica, hacer mayor hincapié en la confianza de los clientes y la protección de los consumidores vulnerables, así como definir mejor las limitaciones e incertidumbres del análisis coste-beneficio de la presente propuesta. La evaluación de impacto se modificó en consecuencia y abordó las observaciones más detalladas del CCR.

Se han elegido opciones de actuación sobre la base de las conclusiones del grupo de expertos de la Comisión relativas al Espacio Europeo de Datos Financieros y de las observaciones de las partes interesadas.

Se estudiaron varias opciones cuyo objetivo era el de mejorar la confianza de los clientes en el intercambio de datos, aclarar la situación jurídica, promover la normalización y ofrecer incentivos. Por lo que se refiere a la confianza de los clientes, las opciones consideradas incluían el uso obligatorio de paneles de control de permisos de acceso a los datos financieros, el establecimiento de normas sobre quién puede acceder a los datos de los clientes y la complementación de dichas normas con otras salvaguardias, incluidas directrices para proteger al consumidor contra el trato desleal o los riesgos de exclusión.

Para aportar claridad jurídica, una opción considerada fue en qué medida se podría exigir a los titulares de datos que compartieran sus datos de clientes con los usuarios de datos. Esto podría hacerse de forma obligatoria, a petición del cliente. También se consideró qué tipos de empresas estarían obligadas a compartir los datos (entidades de crédito, proveedores de servicios de pago y otros tipos de entidades financieras en todo el sector financiero).

Se estudiaron varias opciones para promover la normalización de los datos e interfaces de los clientes. Una opción planteaba que los participantes en el mercado desarrollaran conjuntamente normas comunes para los datos e interfaces de los clientes como parte de los sistemas de intercambio de datos financieros. Se examinó si los participantes en el mercado debían formar parte de dicho sistema de manera voluntaria u obligatoria para acceder a los datos. Otra opción proponía desarrollar un sistema de este tipo mediante actos delegados o de ejecución (la denominada legislación de nivel II que completa o modifica determinados elementos no esenciales de los actos de base).

Se estudiaron una serie de opciones para implantar interfaces de alta calidad para el intercambio de datos de los clientes. Una opción podría ser exigir a los titulares de datos que establezcan interfaces de programación de aplicaciones (APIs) que apliquen las normas comunes para los datos y las interfaces y que las pongan a disposición de los usuarios de los datos sin mediar un contrato y sin poder recibir compensación alguna de los usuarios por el uso de dichas interfaces. Otra opción sería permitir una compensación razonable por el establecimiento y uso de las interfaces y hacerlo mediante un acuerdo con responsabilidad contractual.

La Comisión consideró que la opción preferida es un Reglamento de la UE que establezca un marco para el acceso a los datos financieros que presente las siguientes características:

·que exija a los participantes en el mercado que faciliten a los clientes paneles de control de acceso a los datos financieros, establezca normas de admisibilidad sobre el acceso a los datos de los clientes y faculte a las Autoridades Europeas de Supervisión (AES) para emitir directrices que protejan a los consumidores contra el trato desleal o los riesgos de exclusión;

·que exija el acceso a conjuntos de datos de clientes seleccionados en todo el sector financiero por parte de los usuarios de datos, siempre previa autorización de los clientes a los que se refieren los datos;

·que exija a los participantes en el mercado que elaboren normas comunes para los datos de los clientes y las interfaces relativas a los datos sujetos a acceso obligatorio, como parte de los sistemas; y

·que exija a los titulares de los datos el establecimiento de APIs a cambio de una compensación, aplicando las normas comunes para los datos de los clientes e interfaces desarrolladas como parte de los sistemas, y que exija a los miembros del sistema que se realice mediante un acuerdo con responsabilidad contractual.

El impacto económico global previsto de la presente propuesta sería un mayor acceso a servicios financieros de mejor calidad, lo que resultaría así mismo en una mejor relación calidad-precio global. El acceso a los datos financieros daría lugar a servicios más centrados en el usuario: los servicios personalizados podrían beneficiar a los consumidores que buscan asesoramiento en materia de inversión, y cabe esperar que la evaluación automatizada de la solvencia ayude a facilitar el acceso de las PYME a la financiación. La repercusión esperada en la economía en general es positiva debido a una prestación de servicios más eficiente como resultado de una competencia más efectiva. Sin embargo, para que estos efectos positivos se materialicen es importante garantizar que la reutilización de los datos no dé lugar a un comportamiento contrario a la competencia ni a colusión, especialmente teniendo en cuenta el requisito de adhesión obligatoria a los sistemas contractuales, y que los titulares de datos, en particular, no excluyan a los competidores mediante unas tarifas elevadas por acceder a los datos.

Cabe esperar que la propuesta tenga un impacto social globalmente positivo, siempre que los riesgos asociados se mantengan bajo control. El intercambio de datos de los clientes estaría controlado, ya que se produciría a petición del cliente; el acceso obligatorio solo se activaría una vez que el cliente haya solicitado que se compartan sus datos. Un intercambio de datos más detallado podría facilitar posibilidades de financiación a usuarios anteriormente excluidos. Al permitir una revisión exhaustiva de los derechos de pensión individuales y de empleo, así como de otros planes de ahorro para la jubilación, puede facilitar la toma de decisiones específicas sobre pensiones y ahorros. Por otra parte, sin las salvaguardias adecuadas, un mayor uso de los datos podría, en casos específicos, dar lugar al riesgo de un mayor coste o incluso de una mayor exclusión de clientes con un perfil de riesgo desfavorable. Debe prestarse especial atención a los servicios con mutualización inherente del riesgo, como los seguros. Sin embargo, la opción preferida reduciría dicho impacto, ya que los conjuntos de datos directamente pertinentes para los servicios financieros esenciales dirigidos a los consumidores quedarían excluidos de su ámbito de aplicación y las directrices de la ABE y la AESPJ sobre los perímetros de uso de datos personales aplicables constituirían una salvaguardia adicional.

En general, cabe esperar que el acceso a los datos financieros tenga un impacto indirecto neutro o positivo en el medio ambiente, ya que probablemente contribuiría a la adopción de servicios de inversión innovadores, incluidos aquellos que canalizan las inversiones hacia actividades más sostenibles. Aunque un uso más intensivo de los centros de datos, que iría a la par de una mayor reutilización de los datos, podría tener algunas consecuencias negativas, es probable que su alcance sea limitado ya que la mayoría de los datos cubiertos por la presente propuesta ya existen en formato digital. El volumen adicional de tratamiento procedería principalmente de los usuarios de los datos que accedieran a dichos datos.

Dada la limitada disponibilidad de datos y la naturaleza de la presente propuesta, es difícil hacer predicciones cuantitativas sobre cómo beneficiaría a la economía en su conjunto. Del mismo modo, es igualmente difícil disociar los efectos de cada medida de actuación del posible impacto agregado. Si los costes de cada opción son ya difíciles de estimar, sus beneficios aislados son aún más difíciles de calcular. Se intentó proporcionar una evaluación macroeconómica de los beneficios potenciales sobre la base de un estudio a nivel macroeconómico, cuyo objetivo, sin embargo, no era cuantificar explícitamente los beneficios de la presente propuesta. Así pues, los rangos de cifras que se presentan a continuación deben tomarse como ilustrativos de los beneficios potenciales y no como una estimación específica. Según esta evaluación macroeconómica, los beneficios anuales totales para la economía de la UE generados por un mejor acceso a los datos y su intercambio en el sector financiero de la UE oscilan entre 4 600 y 12 400 millones EUR, incluido el impacto directo en la economía de los datos financieros de la UE de entre 663 y 2 000 millones EUR al año. El coste total estimado de la propuesta podría oscilar entre 2 200 y 2 400 millones EUR en costes puntuales y entre 147 millones EUR y 465 millones EUR en costes anuales recurrentes.

Las finanzas digitales comprenden muchos aspectos que pueden mejorar el funcionamiento de las economías y contribuir al desarrollo sostenible. El acceso a la financiación es uno de los principales retos del desarrollo sostenible. Aunque no sea el objetivo directo de la propuesta, esta contribuirá indirectamente a impulsar el crecimiento inclusivo y sostenible de la economía y el empleo. Puede ayudar a las personas socialmente excluidas a obtener un mejor acceso a la financiación. La presente propuesta está en consonancia con la construcción de infraestructuras resilientes, la industrialización sostenible y la innovación. Puede liberar fuerzas económicas competitivas que mejoren la conectividad en el ámbito de las finanzas. La propuesta también ayudará a abordar el cambio climático mediante un asesoramiento específico en materia de inversión, ayudando a los inversores a tomar decisiones con mayor conocimiento de causa que puedan ayudar a canalizar los flujos de capital hacia inversiones sostenibles.

•Adecuación regulatoria y simplificación

•Derechos fundamentales

4.REPERCUSIONES PRESUPUESTARIAS

La aplicación de esta propuesta no tendría repercusiones en el presupuesto general de la Unión Europea. Aunque las Autoridades Europeas de Supervisión (AES) tendrán que llevar a cabo algunas tareas para que la legislación se aplique correctamente, la mayoría de estas tareas corresponden a los mandatos existentes de las AES, por ejemplo, la preparación de proyectos de normas de regulación o de ejecución o de directrices para una mejor aplicación del presente Reglamento. Además, si bien la Autoridad Bancaria Europea (ABE) estaría obligada a crear un registro con información sobre, por ejemplo, los proveedores de servicios de información financiera, el coste de establecer dicho registro sería limitado y debería cubrirse con el ahorro de costes resultante de las sinergias y eficiencias que se espera que logren todos los organismos de la Unión. Por el contrario, la legislación no conferiría nuevas funciones de supervisión o seguimiento a las AES. Por consiguiente, cualquier coste derivado de la aplicación de la legislación propuesta debe estar cubierto por el presupuesto existente de las AES.

Las implicaciones en términos de costes y carga administrativa para las autoridades nacionales competentes (ANC) son limitadas. Su magnitud y distribución dependerán del requisito impuesto a los proveedores de servicios de información financiera de solicitar una licencia concedida por una ANC y de las correspondientes tareas de supervisión y seguimiento. Estos costes para las ANC se verían parcialmente compensados por las tasas de supervisión que las ANC cobrarían a los proveedores de servicios de información financiera.

Las entidades financieras reguladas que ya disponen de una licencia no se verían afectadas por el nuevo régimen de licencias que establecería la presente propuesta, y no habría requisitos reglamentarios adicionales en materia de presentación de informes, licencias u otros requisitos. En cuanto a las empresas que tendrían que solicitar una licencia, los costes totales de la obtención de una licencia se estima en unos 18,5 millones EUR, suponiendo que unas 350 empresas solicitasen convertirse en proveedores de información de servicios financieros («FISPS», por sus siglas en inglés) para poder acceder a los datos de los clientes. Estas empresas también tendrían que cumplir los requisitos especificados en el Reglamento sobre la resiliencia operativa digital del sector financiero y establecer las normas de ciberseguridad necesarias.

5.OTROS ELEMENTOS

•Planes de ejecución y modalidades de seguimiento, evaluación e información

Es necesario establecer un mecanismo de seguimiento y evaluación para garantizar que las medidas de regulación emprendidas sean eficaces para alcanzar sus objetivos. La Comisión evaluará el impacto del presente Reglamento y se encargará de revisarlo (artículo 31 de la propuesta).

•Explicación detallada de las disposiciones específicas de la propuesta

La presente propuesta tiene por objeto establecer un marco que regule el acceso y el uso de los datos de los clientes en el ámbito de las finanzas (acceso a los datos financieros). El acceso a los datos financieros se refiere al acceso y el tratamiento de datos entre empresas y entre empresas y clientes (incluidos los consumidores) a petición de los clientes en una amplia gama de servicios financieros. La propuesta se divide en nueve títulos.

El título I comprende el objeto, el ámbito de aplicación y las definiciones. El artículo 1 establece que el Reglamento determina las normas con arreglo a las cuales se pueden acceder, compartir y utilizar determinadas categorías de datos de clientes en el ámbito financiero. También establece los requisitos para el acceso, el intercambio y el uso de los datos en el ámbito financiero, los derechos y obligaciones respectivos de los usuarios y titulares de los datos y los derechos y obligaciones respectivos de los proveedores de servicios de información financiera en relación con la prestación de servicios de información como profesión o actividad profesional habitual. El artículo 2 establece el ámbito de aplicación del Reglamento para determinados conjuntos de datos descritos exhaustivamente y enumera las empresas a las que se aplica el presente Reglamento. El artículo 3 establece los términos y definiciones que se utilizan a efectos del presente Reglamento, incluidos «titular de datos», «usuario de datos», «proveedor de servicios de información financiera» y otros.

El título II introduce una obligación jurídica para los titulares de datos y regula la forma en que debe ejercerse dicha obligación. El artículo 4 indica que el titular de los datos debe facilitar a los clientes los datos incluidos en el ámbito de aplicación del presente Reglamento tras la presentación de una solicitud. El artículo 5 otorga al cliente el derecho a solicitar que el titular de los datos comparta dichos datos con un usuario de datos. Cuando se trate de datos personales, la solicitud debe realizarse en cumplimiento de una base jurídica válida, tal como se contempla en el Reglamento general de protección de datos (RGPD), que permita el tratamiento de datos personales. El artículo 6 impone determinadas obligaciones a los usuarios de datos que reciben datos a petición de los clientes. Solo debe permitirse el acceso a los datos de los clientes facilitados con arreglo al artículo 5 y estos datos deben utilizarse únicamente para los fines y en las condiciones acordados con el cliente. Las credenciales de seguridad personalizadas del cliente no deben ser accesibles a otras partes y los datos no deben conservarse durante más tiempo del necesario.

El título III establece los requisitos para garantizar un uso responsable de los datos y la seguridad. El artículo 7 ofrece orientaciones sobre la forma en que las empresas deben utilizar los datos para casos de uso determinados y garantiza que no habrá discriminación ni restricción alguna en el acceso a los servicios como consecuencia del uso de los datos. Garantiza que no se deniegue el acceso a productos financieros a los clientes que se nieguen a autorizar el uso de conjuntos de sus datos por el mero hecho de su negativa a conceder el permiso. El artículo 8 establece los paneles de control de permisos de acceso a los datos financieros para garantizar que los clientes puedan supervisar sus permisos de acceso a los datos mediante una visión general de sus permisos de datos, puedan conceder permisos nuevos y retirar permisos en caso necesario.

El título IV establece los requisitos para la creación y la gobernanza de los sistemas de intercambio de datos financieros cuyo objetivo es reunir a titulares de datos, usuarios de datos y organizaciones de consumidores. Dichos sistemas deben desarrollar normas sobre datos e interfaces, establecer los mecanismos de coordinación para el funcionamiento de los paneles de control de permisos de acceso a los datos financieros, así como un marco contractual común normalizado que regule el acceso a conjuntos de datos específicos, las normas sobre gobernanza de estos sistemas, los requisitos de transparencia, las normas de compensación, la responsabilidad y la resolución de litigios. El artículo 9 establece que los datos que entran en el ámbito de aplicación del presente Reglamento solo deben facilitarse a los miembros de un sistema de intercambio de datos financieros, lo que hace obligatoria la existencia y la afiliación a dichos sistemas. El artículo 10 establece los procesos de gobernanza de estos sistemas, incluidas las normas sobre la responsabilidad contractual de sus miembros y el mecanismo de resolución extrajudicial de litigios. Así mismo, el artículo 10 también prevé la elaboración de normas comunes para el intercambio de datos y la creación de interfaces técnicas que se utilizarán para dichos intercambios. Estos sistemas de intercambio de datos deben notificarse a las autoridades competentes, beneficiarse de una autorización para operaciones en toda la UE o con fines de transparencia, y formar parte de un registro que debe llevar la ABE. Las disposiciones mínimas para un sistema de intercambio de datos financieros también han de establecer que los titulares de datos deben tener derecho a una compensación por facilitar los datos a los usuarios de datos, de conformidad con las condiciones del sistema del que ambos forman parte. En cualquier caso, la compensación debe ser razonable, basarse en una metodología clara y transparente previamente acordada por los miembros del sistema y cuyo objetivo sea el de reflejar al menos los costes incurridos para facilitar una interfaz técnica en la que intercambiar los datos solicitados. El artículo 11 faculta a la Comisión para adoptar un acto delegado en caso de que no se desarrolle un sistema de intercambio de datos financieros para una o varias categorías de datos de clientes.

El título V establece las disposiciones relativas a la autorización y las condiciones de funcionamiento de los proveedores de servicios de información financiera. Estos requisitos ponen de relieve el contenido necesario de una solicitud (artículo 12), la designación de un representante legal (artículo 13), el alcance de la autorización, incluido el pasaporte de la UE de los proveedores de servicios de información financiera (artículo 14) y el derecho concedido a las autoridades competentes para revocar una autorización. El artículo 15 prevé la creación de un registro de proveedores de servicios de información financiera y de sistemas de intercambio de datos que deberá llevar la ABE. El artículo 16 establece los requisitos organizativos de los proveedores de servicios de información financiera.

El título VI detalla las facultades de las autoridades competentes. El artículo 17 impone a los Estados miembros la obligación de designar a las autoridades competentes. El artículo 18 establece disposiciones detalladas sobre las facultades de las autoridades competentes y el artículo 19 prevé la facultad de alcanzar convenios transaccionales y procedimientos de ejecución acelerados. Los artículos 20 a 21 detallan las sanciones y otras medidas administrativas, así como las multas coercitivas, que pueden imponer las autoridades competentes. El artículo 22 establece las circunstancias que deben tenerse en cuenta cuando las autoridades competentes determinen las sanciones y otras medidas administrativas. El artículo 23 regula el secreto profesional para los intercambios de información entre autoridades competentes. El título VI incluye normas sobre el derecho de recurso (artículo 24), la publicación de las sanciones y medidas administrativas impuestas (artículo 25), las normas sobre el intercambio de información entre las autoridades competentes (artículo 26) y la solución de diferencias entre ellas (artículo 27).

El título VII establece el procedimiento de notificación a las autoridades competentes para las empresas que ejerzan el derecho de establecimiento y la libre prestación de servicios (artículo 28), así como la obligación de informar a las autoridades competentes cuando adopten medidas que supongan restricciones a la libertad de establecimiento (artículo 29).

El título VIII incluye el ejercicio de la delegación con vistas a la adopción de actos delegados de la Comisión (artículo 30), ya que la propuesta en sí misma faculta a la Comisión para adoptar un acto delegado con arreglo al artículo 11. Este título también incluye la obligación de la Comisión de revisar determinados aspectos del Reglamento (artículo 31). Los artículos 32 a 34 incluyen las modificaciones necesarias de los Reglamentos por los que se crean las AES para incluir el presente Reglamento y los proveedores de servicios de información financiera en su ámbito de aplicación. El artículo 35 incluye una modificación del Reglamento sobre la resiliencia operativa digital del sector financiero. El artículo 36 indica que el presente Reglamento será de aplicación veinticuatro meses después de su entrada en vigor, excepto en el caso del título IV (sobre los sistemas), que será de aplicación dieciocho meses después de la entrada en vigor del Reglamento.

2023/0205 (COD)

Propuesta de

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

relativo a un marco para el acceso a los datos financieros y por el que se modifican los Reglamentos (UE) n.º 1093/2010, (UE) n.º 1094/2010, (UE) n.º 1095/2010 y (UE) 2022/2554

(Texto pertinente a efectos del EEE)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo 6 ,

De conformidad con el procedimiento legislativo ordinario,

Considerando lo siguiente:

(1)Una economía de los datos responsable, impulsada por la generación y el uso de los datos, forma parte integrante del mercado interior de la Unión y puede aportar beneficios tanto a los ciudadanos como a la economía de la Unión. Las tecnologías digitales basadas en los datos están impulsando cada vez más el cambio en los mercados financieros al producir nuevos modelos de negocio, productos y maneras en las que las empresas interactúan con los clientes.

(2)Los clientes de las entidades financieras, tanto consumidores como empresas, deben tener un control efectivo sobre sus datos financieros y la oportunidad de aprovechar las ventajas de una innovación en el sector financiero basada en los datos que sea abierta, justa y segura. Estos clientes deben estar facultados para decidir cómo y por quién se utilizan sus datos financieros y deben tener la opción de conceder a las empresas acceso a sus datos con el fin de obtener servicios financieros y de información si así lo desean.

(3)La Unión tiene un interés estratégico declarado en permitir el acceso de los clientes de las entidades financieras a sus datos financieros. En su Comunicación sobre una estrategia de finanzas digitales y en la Comunicación sobre una unión de los mercados de capitales, adoptada en 2021, la Comisión confirmó su intención de establecer un marco para el acceso a los datos financieros a fin de aprovechar las ventajas para los clientes del intercambio de datos en el sector financiero. Estos beneficios incluyen el desarrollo y el suministro de productos y servicios financieros basados en datos, que serán facilitados gracias al intercambio de los datos de los clientes.

(4)Dentro de los servicios financieros, y como consecuencia de la revisión de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo 7 , el intercambio de datos sobre cuentas de pago en la Unión basado en el permiso de los clientes ha empezado a transformar la forma en que los consumidores y las empresas utilizan los servicios bancarios. Con el fin de desarrollar las medidas de dicha Directiva, debe establecerse un marco regulador para el intercambio de los datos de los clientes en todo el sector financiero más allá de los datos de las cuentas de pago. Esto también debe constituir un elemento fundamental para integrar plenamente el sector financiero en la estrategia de datos de la Comisión 8 , que promueve el intercambio de datos entre sectores.

(5)Garantizar el control y la confianza de los clientes es imprescindible para crear un marco de intercambio de datos eficaz y que funcione correctamente en el sector financiero. Garantizar un control efectivo de los clientes sobre el intercambio de datos contribuye a la innovación, así como a la confianza de los clientes en el intercambio de datos. Como consecuencia de ello, un control eficaz ayuda a superar la reticencia de los clientes a compartir sus datos. En el marco actual de la Unión, el derecho a la portabilidad de los datos de un interesado de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo 9 se limita a los datos personales y solo puede invocarse cuando sea técnicamente viable transferir los datos. Los datos de los clientes y las interfaces técnicas en el sector financiero más allá de las cuentas de pago no están normalizados, lo que hace que el intercambio de datos sea más costoso. Además, las entidades financieras solo están legalmente obligadas a facilitar los datos de pago de sus clientes.

(6)Por lo tanto, la economía de los datos financieros de la Unión sigue estando fragmentada, caracterizada por un intercambio desigual de datos, obstáculos y una gran reticencia de las partes interesadas a participar en el intercambio de datos más allá de las cuentas de pago. De este modo, los clientes no se benefician de productos y servicios individualizados basados en datos que puedan responder a sus necesidades específicas. La ausencia de productos financieros personalizados limita la posibilidad de innovar, mediante la oferta de más posibilidades de elección y productos y servicios financieros a los consumidores interesados. De otro modo, sin esta limitación podrían beneficiarse de herramientas basadas en datos que les ayuden a elegir con conocimiento de causa, comparar ofertas de manera sencilla y cambiar a productos más ventajosos que se ajusten a sus preferencias basadas en sus datos. Los obstáculos existentes al intercambio de datos empresariales están impidiendo que las empresas, en particular las PYME, se beneficien de unos servicios financieros mejores, cómodos y automatizados.

(7)Facilitar datos mediante interfaces de programación de aplicaciones de alta calidad es esencial para permitir un acceso continuo y efectivo a los datos. Sin embargo, más allá del ámbito de las cuentas de pago, solo una minoría de las entidades financieras titulares de datos indican que facilitan datos a través de interfaces técnicas, como las interfaces de programación de aplicaciones. Dado que no existen incentivos para desarrollar estos servicios innovadores, la demanda de acceso a los datos en el mercado sigue siendo limitada.

(8)Por lo tanto, es necesario un marco específico y armonizado para el acceso a los datos financieros a escala de la Unión a fin de responder a las necesidades de la economía digital y eliminar los obstáculos al buen funcionamiento del mercado interior de datos. Se requieren normas específicas para abordar estos obstáculos con objeto de promover un mejor acceso a los datos de los clientes y, de este modo, permitir que los consumidores y las empresas aprovechen los beneficios derivados de unos mejores productos y servicios financieros. Las finanzas basadas en datos facilitarían la transición de la industria desde el suministro tradicional de productos normalizados al suministro de soluciones adaptadas que se ajusten mejor a las necesidades específicas de los clientes, incluida la mejora de las interfaces con los clientes que mejoran la competencia, mejoran la experiencia de los usuarios y garantizan servicios financieros centrados en el cliente como usuario final.

(9)Los datos incluidos en el ámbito de aplicación del presente Reglamento deben demostrar un alto valor añadido para la innovación financiera, así como un bajo riesgo de exclusión financiera para los consumidores. Por consiguiente, el presente Reglamento no debe aplicarse a los datos relativos al seguro de salud y enfermedad de un consumidor de conformidad con la Directiva 2009/138/CE del Parlamento Europeo y del Consejo 10 , ni los datos sobre los productos de seguro de vida de un consumidor de conformidad con la misma Directiva distintos de los contratos de seguro de vida cubiertos por productos de inversión basados en seguros. El presente Reglamento tampoco debe aplicarse a los datos recogidos en el marco de una evaluación de solvencia de un consumidor. El intercambio de datos de los clientes en el ámbito de aplicación del presente Reglamento debe respetar la protección de los datos comerciales confidenciales y los secretos comerciales.

(10)El intercambio de los datos de los clientes en el ámbito de aplicación del presente Reglamento debe basarse en la autorización del cliente. La obligación legal de los titulares de datos de intercambiar los datos de los clientes debe activarse una vez que el cliente haya solicitado que sus datos se compartan con un usuario de datos. Esta solicitud puede ser presentada por un usuario de datos que actúe en nombre del cliente. Cuando se trate del tratamiento de datos personales, el usuario de datos debe tener una base jurídica válida para el tratamiento con arreglo al Reglamento (UE) 2016/679. Los datos de los clientes pueden tratarse para los fines acordados en el contexto del servicio prestado. El tratamiento de los datos personales debe respetar los principios de protección de los datos personales, incluidas la legalidad, la equidad y la transparencia, la limitación de la finalidad y la minimización de los datos. El cliente tiene derecho a retirar el permiso concedido a un usuario de datos. Cuando el tratamiento de datos sea necesario para la ejecución de un contrato, el cliente debe poder retirar los permisos de conformidad con las obligaciones contractuales en las que el interesado es parte. Cuando el tratamiento de datos personales se base en el consentimiento, el interesado tendrá derecho a retirar su consentimiento en cualquier momento, conforme a lo dispuesto en el Reglamento (UE) 2016/679.

(11)Permitir a los clientes compartir sus datos sobre sus inversiones actuales puede fomentar la innovación en la prestación de servicios de inversión minorista. La recogida de datos primarios para realizar una evaluación de idoneidad y adecuación de un inversor minorista requiere mucho tiempo para un cliente y constituye un factor de coste significativo para los asesores y distribuidores de productos de inversión, pensiones y productos de inversión basados en seguros. El intercambio de datos de los clientes sobre las tenencias de ahorro e inversión en instrumentos financieros, incluidos los productos de inversión basados en seguros y los datos recopilados con el fin de llevar a cabo una evaluación de idoneidad y adecuación, puede mejorar el asesoramiento en materia de inversión para los consumidores y tiene un gran potencial innovador, en particular en el desarrollo de instrumentos de asesoramiento personalizado en materia de inversión y de gestión de inversiones que puedan hacer más eficiente el asesoramiento en materia de inversión minorista. Estos instrumentos de gestión ya se están desarrollando en el mercado y pueden desarrollarse de manera más eficaz en el contexto en el que un cliente puede compartir sus datos relacionados con la inversión.

(12)Los datos de los clientes sobre el saldo, las condiciones o detalles de una transacción relacionados con hipotecas, préstamos y ahorros pueden permitir a los clientes obtener una mejor visión general de sus depósitos y satisfacer mejor sus necesidades de ahorro sobre la base de los datos crediticios. El presente Reglamento debe abarcar los datos de los clientes más allá de las cuentas de pago definidas en la Directiva (UE) 2015/2366. Las cuentas de crédito cubiertas por una línea de crédito que no puedan utilizarse para la ejecución de operaciones de pago a terceros deben entrar en el ámbito de aplicación del presente Reglamento. Por consiguiente, debe entenderse que el presente Reglamento abarca el acceso al saldo, las condiciones o detalles de una transacción relacionados con los contratos de crédito hipotecario, los préstamos y las cuentas de ahorro, así como los tipos de cuentas que no entran en el ámbito de aplicación de la Directiva (UE) 2015/2366 11 .

(13)Los datos de los clientes incluidos en el ámbito de aplicación del presente Reglamento deben incluir información relacionada con la sostenibilidad que permita a los clientes acceder más fácilmente a servicios financieros que estén en consonancia con sus preferencias de sostenibilidad y sus necesidades financieras sostenibles, de conformidad con la estrategia de la Comisión para financiar la transición a una economía sostenible 12 . El acceso a los datos relativos a la sostenibilidad que puedan figurar en los detalles del balance o de las operaciones relacionados con una cuenta hipotecaria, de crédito, de préstamo y de ahorro, así como el acceso a los datos de los clientes relativos a la sostenibilidad mantenidos por las empresas de servicios de inversión, puede contribuir a facilitar el acceso a los datos necesarios para acceder a financiación sostenible o realizar de inversiones en la transición ecológica. Además, los datos de los clientes incluidos en el ámbito de aplicación del presente Reglamento deben incluir datos que formen parte de una evaluación de solvencia relacionada con las empresas, incluidas las pequeñas y medianas empresas, y que pueda proporcionar una mejor comprensión de los objetivos de sostenibilidad de las pequeñas empresas. La inclusión de los datos utilizados para la evaluación de solvencia de las empresas mejorará el acceso a la financiación y racionalizará la solicitud de préstamos. Estos datos deben limitarse a los datos sobre las empresas y no deben infringir los derechos de propiedad intelectual.

(14)Los datos de los clientes relacionados con la prestación de seguros distintos del seguro de vida son esenciales para permitir productos y servicios de seguro importantes para las necesidades del cliente, como la protección de los hogares, los vehículos y otros bienes. Al mismo tiempo, la recogida de estos datos es a menudo gravosa y costosa y puede actuar como elemento disuasorio contra la búsqueda de una cobertura de seguro óptima por parte de los clientes. Por lo tanto, para abordar este problema es necesario incluir dichos servicios financieros en el ámbito de aplicación del presente Reglamento. Los datos de los clientes sobre los productos de seguro incluidos en el ámbito de aplicación del presente Reglamento deben incluir tanto información detallada sobre una cobertura de seguro como datos específicos de los activos asegurados de los consumidores recogidos a efectos de una prueba de demandas y necesidades. El intercambio de estos datos debe permitir el desarrollo de herramientas personalizadas para los clientes, como paneles de control de seguros, que podrían ayudar a los consumidores a gestionar mejor sus riesgos. También podría ayudar a los clientes a obtener productos mejor orientados a sus demandas y necesidades, en particular mediante un asesoramiento más valioso. Esto puede contribuir a una cobertura de seguro óptima para los clientes y a una mayor inclusión financiera de los consumidores insuficientemente atendidos, ofreciendo una cobertura nueva o mayor. Además, el intercambio de datos sobre seguros puede ser beneficioso para una oferta más eficiente de seguros, en particular en las fases de diseño del producto, suscripción y ejecución del contrato, incluida la gestión de siniestros y la reducción del riesgo.

(15)El intercambio de datos sobre los planes de pensiones de empleo e individuales tiene un gran potencial innovador para los consumidores. Los ahorradores en pensiones de jubilación con frecuencia carecen de conocimientos suficientes sobre sus derechos de pensión, lo que está relacionado con el hecho de que los datos sobre estos derechos a menudo están dispersos entre los distintos titulares de datos. El intercambio de datos relativos a los planes de pensiones de empleo e individuales debe contribuir al desarrollo de herramientas de seguimiento de las pensiones que proporcionen a los ahorradores una visión global de sus derechos e ingresos de jubilación, tanto en Estados miembros en concreto como transfronterizos en la Unión. Los datos sobre los derechos de pensión se refieren, en particular, a los derechos de pensión acumulados, los niveles previstos de las prestaciones de jubilación, los riesgos y las garantías de los partícipes y beneficiarios de los planes de pensiones de empleo. El acceso a los datos relativos a las pensiones de empleo se entiende sin perjuicio de la legislación social y laboral nacional sobre la organización de los sistemas de pensiones, incluida la afiliación a los sistemas y los resultados de los convenios colectivos.

(16)Los datos que formen parte de una evaluación de solvencia de una empresa incluida en el ámbito de aplicación del presente Reglamento deben consistir en información que una empresa facilite a las entidades y a los acreedores en el marco del proceso de solicitud de un préstamo o de una solicitud de calificación crediticia. Esto incluye las solicitudes de préstamo de microempresas, pequeñas, medianas y grandes empresas. Podrá incluir datos recopilados por las entidades y los acreedores, tal como se establece en el anexo II de las Directrices de la Autoridad Bancaria Europea sobre originación y seguimiento de préstamos 13 . Estos datos podrán incluir estados financieros y proyecciones, información sobre pasivos financieros y atrasos de pago, pruebas de la propiedad de la garantía real, pruebas del seguro de la garantía real e información sobre garantías. Los datos adicionales pueden ser pertinentes si la finalidad de la solicitud de préstamo se refiere a la compra de bienes inmuebles comerciales o de promoción inmobiliaria.

(17)Dado que el presente Reglamento tiene por objeto obligar a las entidades financieras a facilitar el acceso a determinadas categorías de datos a petición del cliente cuando actúen como titulares de datos, así como permitir el intercambio de datos sobre la base del permiso de los clientes cuando las entidades financieras actúen como usuarios de datos, el Reglamento debe proporcionar una lista de las entidades financieras que pueden actuar como titulares de datos, usuarios de datos o ambos. Por consiguiente, debe entenderse por entidades financieras aquellas entidades que proporcionan productos y servicios financieros u ofrecen servicios de información pertinente a los clientes del sector financiero.

(18)Las prácticas empleadas por los usuarios de los datos para combinar fuentes de datos de clientes nuevas y tradicionales en el ámbito de aplicación del presente Reglamento deben ser proporcionadas para garantizar que no conllevan riesgos de exclusión financiera para los consumidores. Las prácticas que conducen a un análisis más sofisticado o exhaustivo de determinados segmentos de consumidores vulnerables, como las personas con bajos ingresos, pueden aumentar el riesgo de condiciones desleales o prácticas de fijación de precios diferenciales, como la aplicación de primas diferenciales. El potencial de exclusión aumenta en la oferta de productos y servicios cuyo precio se fija en función del perfil de un consumidor, especialmente en la calificación crediticia y la evaluación de solvencia de las personas físicas, así como en productos y servicios relacionados con la evaluación del riesgo y la fijación de precios de las personas físicas en el caso de los seguros de vida y de enfermedad. Habida cuenta de los riesgos, el uso de datos para estos productos y servicios debe estar sujeto a requisitos específicos para proteger a los consumidores y sus derechos fundamentales.

(19)El perímetro de uso de los datos así establecido en el presente Reglamento y en las directrices complementarias («las directrices») que desarrollarán la Autoridad Bancaria Europea (ABE) y la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ) debe procurar un marco proporcionado sobre cómo deben utilizarse los datos personales relacionados con un consumidor que entre en el ámbito de aplicación del presente Reglamento. El perímetro de uso de los datos garantiza la coherencia entre el ámbito de aplicación del presente Reglamento, que excluye los datos que forman parte de una evaluación de solvencia de un consumidor, así como los datos relativos a los seguros de vida, salud y enfermedad de un consumidor, y el ámbito de aplicación de las directrices, que establece recomendaciones sobre cómo pueden utilizarse diversos tipos de datos procedentes de otros ámbitos del sector financiero que entran en el ámbito de aplicación del presente Reglamento para suministrar estos productos y servicios. Las directrices elaboradas por la ABE deben establecer cómo pueden utilizarse otros tipos de datos incluidos en el ámbito de aplicación del presente Reglamento para evaluar la calificación crediticia de un consumidor. Las directrices elaboradas por la AESPJ deben establecer cómo pueden utilizarse los datos incluidos en el ámbito de aplicación del presente Reglamento en productos y servicios relacionados con la evaluación de riesgos y la fijación de precios en el caso de los productos de seguro de vida, salud y enfermedad. Las directrices deben elaborarse de manera que se ajusten a las necesidades de los consumidores y seas proporcionadas al suministro de tales productos y servicios.

(20)La ABE y la AESPJ deben cooperar estrechamente con el Consejo Europeo de Protección de Datos a la hora de elaborar las directrices, que deben basarse en las recomendaciones existentes sobre el uso de la información del consumidor en el ámbito del crédito al consumo y el crédito hipotecario, en particular las normas sobre el uso de la evaluación de solvencia con arreglo a la Directiva 2008/48/CE del Parlamento Europeo y del Consejo, de 23 de abril de 2008, relativa a los contratos de crédito al consumo y por la que se deroga la Directiva 87/102/CEE del Consejo, las Directrices de la Autoridad Bancaria Europea sobre originación y seguimiento de los préstamos y las Directrices de la Autoridad Bancaria Europea sobre la evaluación de solvencia elaboradas en virtud de la Directiva 2014/17/UE, así como las directrices elaboradas por el Consejo Europeo de Protección de Datos sobre el tratamiento de los datos personales.

(21)Los clientes deben tener un control efectivo sobre sus datos y confianza en la gestión de los permisos que hayan concedido de conformidad con el presente Reglamento. Por consiguiente, debe exigirse a los titulares de datos que proporcionen a los clientes paneles de control de permisos de acceso a los datos financieros comunes y coherentes. El panel de control de permisos debe permitir al cliente gestionar sus permisos de manera informada e imparcial y ofrecer a los clientes un sólido control sobre cómo se utilizan sus datos personales y no personales. No debe diseñarse de manera que incentive o influya indebidamente al cliente en la concesión o retirada de permisos. El panel de control de permisos debe tener en cuenta, cuando proceda, los requisitos de accesibilidad establecidos en la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo 14 . Al proporcionar un panel de control de permisos, los titulares de datos podrían utilizar una identificación electrónica y un servicio de confianza notificados, como una cartera europea de identidad digital emitida por un Estado miembro, tal como se introdujo en la propuesta por la que se modifica el Reglamento (UE) n.º 910/2014 en lo que respecta al establecimiento de un marco para una Identidad Digital Europea 15 . Los titulares de datos también pueden recurrir a los proveedores de servicios de intermediación de datos en virtud del Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo 16 para proporcionar paneles de control de permisos que cumplan los requisitos del presente Reglamento.

(22)El panel de control de permisos debe mostrar los permisos concedidos por un cliente, incluso cuando los datos personales se compartan sobre la base del consentimiento o sean necesarios para la ejecución de un contrato. El panel de control de permisos debe advertir al cliente de manera normalizada del riesgo de posibles consecuencias contractuales de la retirada de un permiso, pero el cliente debe seguir siendo responsable de la gestión de dicho riesgo. El panel de control de permisos debe utilizarse para gestionar los permisos existentes. Los titulares de datos deben informar en tiempo real a los usuarios de datos de toda retirada de un permiso. El panel de control de permisos debe incluir un registro de los permisos que hayan sido retirados o hayan caducado durante un período de hasta dos años, a fin de que el cliente pueda hacer un seguimiento de sus permisos de manera informada e imparcial. Los usuarios de datos deben informar a los titulares de datos en tiempo real de los permisos nuevos y restablecidos concedidos por los clientes, incluido el período de validez del permiso y un breve resumen de la finalidad del permiso. La información facilitada en el panel de control de permisos se entiende sin perjuicio de los requisitos de información en virtud del Reglamento (UE) 2016/679.

(23)Para garantizar la proporcionalidad, determinadas entidades financieras quedan fuera del ámbito de aplicación del presente Reglamento por razones relacionadas con su tamaño o con los servicios que prestan, lo que dificultaría demasiado su cumplimiento. Entre ellos se incluyen los fondos de pensiones de empleo que gestionan planes de pensiones que, en conjunto, no cuentan con más de 15 partícipes en total, así como los intermediarios de seguros que son microempresas o pequeñas o medianas empresas. Además, las pequeñas y medianas empresas que actúen como titulares de datos que entren en el ámbito de aplicación del presente Reglamento deben poder establecer conjuntamente una interfaz de programación de aplicaciones, reduciendo los costes para cada una de ellas. También pueden recurrir a proveedores de tecnología externos que gestionen interfaces de programación de aplicaciones de forma conjunta para entidades financieras y que puedan cobrarles solo una pequeña cuota fija de utilización y funcionen principalmente sobre la base de un pago por llamada (pay-per-call).

(24)El presente Reglamento introduce una nueva obligación jurídica para las entidades financieras que actúan como titulares de datos de compartir determinadas categorías de datos a petición del cliente. La obligación de los titulares de datos de compartir datos a petición del cliente debe especificarse mediante normas generalmente reconocidas que garanticen también que los datos compartidos sean de una calidad suficientemente alta. El titular de los datos debe facilitar los datos de los clientes de forma continua para los fines y en las condiciones en las que el cliente haya concedido permiso a un usuario de datos. El acceso continuo podría consistir en múltiples solicitudes de acceso a los datos de los clientes para la prestación del servicio acordado con el cliente. También podría consistir en un acceso puntual a los datos de los clientes. Si bien el titular de los datos es responsable de que la interfaz esté disponible y de que la interfaz sea de la calidad adecuada, la interfaz puede ser facilitada no solo por el titular de los datos, sino también por otra entidad financiera, un proveedor de TI externo, una asociación sectorial o un grupo de entidades financieras, o por un organismo público de un Estado miembro. En el caso de los fondos de pensiones de empleo, la interfaz puede integrarse en paneles de control de pensiones que cubran una gama más amplia de información, siempre que cumpla los requisitos del presente Reglamento.

(25)A fin de permitir la interacción contractual y técnica necesaria para aplicar el acceso a los datos entre múltiples entidades financieras, debe exigirse a los titulares y usuarios de datos que formen parte de los sistemas de intercambio de datos financieros. Estos sistemas deben desarrollar normas sobre datos e interfaces, marcos contractuales normalizados conjuntos que regulen el acceso a conjuntos de datos específicos y normas de gobernanza relacionadas con el intercambio de datos. Con objeto de garantizar que los sistemas funcionen eficazmente, es necesario establecer principios generales para la gobernanza de estos sistemas, incluidas normas sobre gobernanza inclusiva y participación de los titulares de datos, usuarios y clientes de datos (para garantizar una representación equilibrada en los sistemas), requisitos de transparencia y un procedimiento de recurso y revisión que funcione correctamente (especialmente en torno a la toma de decisiones de los sistemas). Los sistemas de intercambio de datos financieros deben cumplir las normas de la Unión en el ámbito de la protección de los consumidores y la protección de datos, la privacidad y la competencia. También se anima a los participantes en estos sistemas a que elaboren códigos de conducta similares a los elaborados por los responsables y encargados del tratamiento con arreglo al artículo 40 del Reglamento (UE) 2016/679. Si bien dichos sistemas pueden basarse en iniciativas de mercado existentes, los requisitos establecidos en el presente Reglamento deben ser específicos de los sistemas de intercambio de datos financieros o partes de estos que los participantes en el mercado utilicen para cumplir sus obligaciones en virtud del presente Reglamento tras la fecha de aplicación de dichas obligaciones.

(26)Un sistema de intercambio de datos financieros debe consistir en un acuerdo contractual colectivo entre los titulares y los usuarios de datos con el objetivo de promover la eficiencia y la innovación técnica en el intercambio de datos financieros en beneficio de los clientes. En consonancia con las normas de competencia de la Unión, un sistema de intercambio de datos financieros solo debe imponer a sus miembros restricciones que sean necesarias para alcanzar sus objetivos y que sean proporcionadas a dichos objetivos. No debe ofrecer a sus miembros la posibilidad de impedir, restringir o falsear la competencia respecto de una parte sustancial del mercado de referencia.

(27)A fin de garantizar la eficacia del presente Reglamento, deben delegarse en la Comisión las facultades para adoptar actos con arreglo al artículo 290 del Tratado de Funcionamiento de la Unión Europea por lo que respecta a la especificación de las modalidades y características de un sistema de intercambio de datos financieros en caso de que un sistema no sea desarrollado por los titulares y los usuarios de los datos. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación 17 . En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupan de la preparación de actos delegados.

(28)Debe permitirse a los titulares y los usuarios de los datos utilizar las normas existentes del mercado a la hora de elaborar normas comunes para el intercambio obligatorio de datos.

(29)Para garantizar que los titulares de los datos tengan interés en proporcionar interfaces de alta calidad para facilitar los datos a los usuarios de datos, debe permitirse a los titulares de datos solicitar a los usuarios una compensación razonable por la creación de interfaces de programación de aplicaciones. Facilitar el acceso a los datos a cambio de una compensación garantizaría una distribución justa de los costes conexos entre los titulares y los usuarios de datos en la cadena de valor de los datos. En los casos en que el usuario de los datos sea una PYME, debe garantizarse la proporcionalidad para los participantes más pequeños en el mercado limitando la compensación estrictamente a los costes incurridos para facilitar el acceso a los datos. El modelo para determinar el nivel de compensación debe definirse como parte de los sistemas de intercambio de datos financieros previstos en el presente Reglamento.

(30)Los clientes deben saber cuáles son sus derechos en caso de que surjan problemas cuando se intercambien los datos y a quién dirigirse para solicitar una indemnización. Por consiguiente, debe exigirse a los miembros del sistema de intercambio de datos financieros, incluidos los titulares y los usuarios de datos, que acuerden la responsabilidad contractual de las violaciones de la seguridad de los datos, así como la manera de resolver posibles litigios entre titulares y usuarios de datos en relación con la responsabilidad. Estos requisitos deben centrarse en establecer, como parte de cualquier contrato, normas de responsabilidad, así como obligaciones y derechos claros para determinar la responsabilidad entre el titular y el usuario de los datos. Las cuestiones de responsabilidad relacionadas con los consumidores como interesados deben basarse en el Reglamento (UE) 2016/679, en particular el derecho a indemnización y la responsabilidad con arreglo al artículo 82 de dicho Reglamento.

(31)Para promover la protección de los consumidores, aumentar su confianza y garantizar unas condiciones de competencia equitativas, es necesario establecer normas sobre quién puede acceder a los datos de los clientes. Dichas normas deben garantizar que todos los usuarios de datos estén autorizados y supervisados por las autoridades competentes. Esto garantizaría que solo puedan acceder a los datos las entidades financieras reguladas o las empresas que dispongan de una autorización específica como proveedores de servicios de información financiera («FISP»), que está sujeta al presente Reglamento. A fin de salvaguardar la estabilidad financiera, la integridad del mercado y la protección de los consumidores, es preciso establecer normas de admisibilidad para los FISP, ya que estos ofrecerían productos y servicios financieros a los clientes de la Unión y tendrían acceso a los datos que obren en poder de las entidades financieras y cuya integridad es esencial con objeto de preservar la capacidad de las entidades financieras para seguir prestando servicios financieros de manera prudente y segura. Dichas normas también son necesarias para garantizar la adecuada supervisión de los FISP por parte de las autoridades competentes en consonancia con su mandato de salvaguardar la estabilidad e integridad financieras en la Unión, lo que permitiría a los FISP prestar en toda la Unión los servicios para los que están autorizados.

(32)Los usuarios de datos incluidos en el ámbito de aplicación del presente Reglamento deben estar sujetos a los requisitos del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo 18 y, por tanto, estar obligados a disponer de normas estrictas de ciberresiliencia para llevar a cabo sus actividades. Esto incluye disponer de capacidades globales para permitir una gestión del riesgo relacionado con las TIC sólida y eficaz, así como de mecanismos y políticas específicos para gestionar todos los incidentes relacionados con las TIC y notificar los incidentes graves relacionados con estas. Los usuarios de datos autorizados y supervisados como proveedores de servicios de información financiera en virtud del presente Reglamento deben seguir el mismo enfoque y las mismas normas basadas en principios a la hora de abordar los riesgos relacionados con las TIC teniendo en cuenta su tamaño y su perfil de riesgo general, así como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones. Por consiguiente, los proveedores de servicios de información financiera deben incluirse en el ámbito de aplicación del Reglamento (UE) 2022/2554.

(33)Con el fin de permitir una supervisión eficaz y eliminar la posibilidad de evitar o eludir la supervisión, los proveedores de servicios de información financiera deben estar legalmente constituidos en la Unión o, en caso de estar constituidos en un tercer país, designar un representante legal en la Unión. Es necesaria una supervisión eficaz por parte de las autoridades competentes para el cumplimiento de los requisitos establecidos en el presente Reglamento a fin de garantizar la integridad y la estabilidad del sistema financiero y proteger a los consumidores. El requisito de la incorporación legal de proveedores de servicios de información financiera en la Unión o la designación de un representante legal en la Unión no equivale a la localización de datos, ya que el presente Reglamento no contiene ningún otro requisito sobre el tratamiento de datos, incluido el almacenamiento en la Unión.

(34)Un proveedor de servicios de información financiera debe estar autorizado en la jurisdicción del Estado miembro en el que se encuentre su establecimiento principal, es decir, en el que el proveedor de servicios de información financiera tenga su sede central o su domicilio social en el que se ejerzan las funciones principales y el control operativo. Con respecto a los proveedores de servicios de información financiera que no tengan un establecimiento en la Unión, pero requieran acceso a los datos en la Unión y, por tanto, entren en el ámbito de aplicación del presente Reglamento, el Estado miembro en el que dichos proveedores de servicios de información financiera hayan designado a su representante legal debe tener jurisdicción, teniendo en cuenta la función de los representantes legales en virtud del presente Reglamento.

(35)Para facilitar la transparencia en relación con el acceso a los datos y los proveedores de servicios de información financiera, la ABE debe establecer un registro de proveedores de servicios de información financiera autorizados en virtud del presente Reglamento, así como sistemas de intercambio de datos financieros acordados entre titulares y usuarios de datos.

(36)Debe conferirse a las autoridades competentes las facultades necesarias para supervisar la forma en que los participantes en el mercado ejercen el cumplimiento de la obligación de los titulares de datos de facilitar acceso a los datos de los clientes establecida por el presente Reglamento, así como para supervisar a los proveedores de servicios de información financiera. El acceso a los registros pertinentes sobre tráfico de datos en poder de un operador de telecomunicaciones, así como la capacidad de incautarse de los documentos pertinentes en las instalaciones son competencias importantes y necesarias para detectar y demostrar la existencia de infracciones en virtud del presente Reglamento. Por consiguiente, las autoridades competentes deben estar facultadas para exigir dichos registros cuando sean pertinentes para una investigación, en la medida en que lo permita la legislación nacional. Las autoridades competentes también deben cooperar con las autoridades de control establecidas en virtud del Reglamento (UE) 2016/679 en el desempeño de sus funciones y en el ejercicio de sus competencias de conformidad con dicho Reglamento. 

(37)Dado que las entidades financieras y los proveedores de servicios de información financiera pueden estar establecidos en diferentes Estados miembros y ser supervisados por diferentes autoridades competentes, la aplicación del presente Reglamento debe facilitarse mediante una estrecha cooperación entre las autoridades competentes pertinentes, mediante el intercambio mutuo de información y la prestación de asistencia en el contexto de las actividades de supervisión pertinentes.

(38)A fin de garantizar la igualdad de condiciones en el ámbito de las facultades sancionadoras, debe exigirse a los Estados miembros que prevean sanciones administrativas efectivas, proporcionadas y disuasorias, incluidas multas coercitivas, y medidas administrativas por incumplimiento de las disposiciones del presente Reglamento. Dichas sanciones administrativas, multas coercitivas y medidas administrativas deben cumplir determinados requisitos mínimos, incluidas las facultades mínimas que deben conferirse a las autoridades competentes para poder imponerlas, los criterios que las autoridades competentes deben tener en cuenta al imponerlas y la obligación de publicar e informar sobre ellas. Los Estados miembros han de establecer normas específicas y mecanismos eficaces para la aplicación de las multas coercitivas.

(39)Además de las sanciones y medidas administrativas, las autoridades competentes deben estar facultadas para imponer multas coercitivas a los proveedores de servicios de información financiera y a los miembros de su órgano de dirección que sean identificados como responsables de una infracción en curso o a los que se exija cumplir una orden de una autoridad competente investigadora. Dado que la finalidad de las multas coercitivas es obligar a las personas físicas o jurídicas a cumplir una orden de la autoridad competente para actuar, por ejemplo, para aceptar ser entrevistada o facilitar información, o para poner fin a una infracción en curso, la aplicación de multas coercitivas no debe impedir que las autoridades competentes impongan sanciones administrativas posteriores por la misma infracción. Salvo disposición en contrario de los Estados miembros, las multas coercitivas deben calcularse diariamente.

(40)Independientemente de su denominación con arreglo al Derecho nacional, en muchos Estados miembros existen formas de recurrir a procedimientos de ejecución acelerados o convenios transaccionales que se utilizan como alternativa a los procedimientos formales que conducen a la imposición de sanciones. Un procedimiento de ejecución acelerado suele iniciarse después de que haya concluido una investigación y se haya adoptado la decisión de iniciar un procedimiento que dé lugar a la imposición de sanciones. Un procedimiento de ejecución acelerado se caracteriza por ser más breve que el formal, debido a la simplificación de los trámites procesales. En virtud de un convenio transaccional, las partes sujetas a la investigación de una autoridad competente suelen acordar poner fin a dicha investigación en una fase temprana, en la mayoría de los casos aceptando la responsabilidad por irregularidades. 

(41)Si bien no parece adecuado tratar de armonizar a escala de la Unión tales procedimientos de ejecución acelerados, introducidos por muchos Estados miembros, debido a la diversidad de enfoques jurídicos adoptados a nivel nacional, debe reconocerse que dichos métodos permiten a las autoridades competentes que pueden aplicarlos tramitar los casos de infracción de una manera más rápida, menos costosa y eficiente en general en determinadas circunstancias, por lo que deben fomentarse. No obstante, no se debe obligar a los Estados miembros a introducir dichos métodos de ejecución en su marco jurídico, ni las autoridades competentes deben estar obligadas a utilizarlos si no lo consideran oportuno. Cuando los Estados miembros decidan facultar a sus autoridades competentes para utilizar dichos métodos de ejecución, deben notificar a la Comisión dicha decisión y las medidas pertinentes que regulen dichas competencias.

(42)Los Estados miembros deben facultar a las autoridades nacionales competentes para imponer dichas sanciones y medidas administrativas a los proveedores de servicios de información financiera y a otras personas físicas o jurídicas cuando proceda para remediar la situación en caso de infracción. La gama de sanciones y medidas debe ser lo suficientemente amplia como para permitir a los Estados miembros y a las autoridades competentes tener en cuenta las diferencias entre los proveedores de servicios de información financiera en lo que se refiere a su tamaño, sus características y la naturaleza de sus actividades.

(43)La publicación de una sanción o medida administrativa por una infracción de las disposiciones del presente Reglamento puede tener un fuerte efecto disuasorio contra la repetición de dicha infracción. La publicación también informa a otras entidades de los riesgos asociados al proveedor de servicios de información financiera sancionado antes de entablar una relación comercial y asiste a las autoridades competentes de otros Estados miembros en relación con los riesgos asociados a un proveedor de servicios de información financiera cuando opera en sus Estados miembros de manera transfronteriza. Por estas razones, debe permitirse la publicación de las decisiones sobre sanciones y medidas administrativas, siempre que se trate de personas jurídicas. Al adoptar una decisión sobre la publicación de una sanción o medida administrativa, las autoridades competentes deben tener en cuenta la gravedad de la infracción y el efecto disuasorio que la publicación puede producir. No obstante, cualquier publicación de este tipo que se refiera a personas físicas puede afectar de manera desproporcionada a sus derechos derivados de la Carta de los Derechos Fundamentales y de la legislación aplicable de la Unión en materia de protección de datos. La publicación debe producirse de forma anonimizada, a menos que la autoridad competente considere necesario publicar decisiones que contengan datos personales para la aplicación efectiva del presente Reglamento, incluso en el caso de declaraciones públicas o prohibiciones temporales. En tales casos, la autoridad competente debe justificar su decisión.

(44)El intercambio de información y la asistencia entre autoridades competentes de los Estados miembros son esenciales para los fines del presente Reglamento. Por consiguiente, la cooperación entre autoridades no debe estar sujeta a condiciones restrictivas irrazonables.

(45)El acceso transfronterizo a los datos por parte de los proveedores de servicios de información debe permitirse en virtud de la libre prestación de servicios o la libertad de establecimiento. Un proveedor de servicios de información financiera que desee tener acceso a los datos que obren en poder de un titular de datos en otro Estado miembro debe notificar su intención a su autoridad competente, facilitando información sobre el tipo de datos a los que desea acceder, el sistema de intercambio de datos financieros del que es miembro y los Estados miembros en los que se propone acceder a los datos.

(46)Los objetivos del presente Reglamento, a saber, proporcionar un control efectivo de los datos al cliente y abordar la falta de derechos de acceso a los datos de los clientes en poder de los titulares de datos, no pueden ser alcanzados de manera suficiente por los Estados miembros, dada su naturaleza transfronteriza, sino que pueden lograrse mejor a escala de la Unión mediante la creación de un marco que permita desarrollar un mercado transfronterizo más amplio con acceso a los datos. La Unión puede adoptar medidas, de conformidad con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos.

(47)La propuesta de Ley de Datos [Reglamento (UE) XX] establece un marco horizontal para el acceso a los datos y su utilización en toda la Unión. El presente Reglamento complementa y especifica las normas establecidas en la propuesta de Ley de Datos [Reglamento (UE) XX]. Por lo tanto, dichas normas también se aplican al intercambio de datos regulado por el presente Reglamento. Esto incluye disposiciones sobre las condiciones en las que los titulares de datos los facilitan los destinatarios de los datos, sobre la compensación, los órganos de resolución de litigios para facilitar los acuerdos entre las partes en el intercambio de datos, las medidas técnicas de protección, el acceso y la transferencia internacionales de datos y sobre el uso o la divulgación autorizados de los datos.

(48)El Reglamento (UE) 2016/679 es de aplicación cuando se tratan datos personales. Establece los derechos de un interesado, incluido el derecho de acceso y el derecho a la portabilidad de datos personales. El presente Reglamento se entiende sin perjuicio de los derechos de los interesados previstos en el Reglamento (UE) 2016/679, incluidos el derecho de acceso y el derecho a la portabilidad de los datos. El presente Reglamento establece la obligación legal de compartir datos personales y no personales de los clientes a petición del cliente y exige la viabilidad técnica del acceso y el intercambio de todos los tipos de datos incluidos en el ámbito de aplicación del presente Reglamento. La concesión de un permiso por parte de un cliente se entiende sin perjuicio de las obligaciones de los usuarios de datos en virtud del artículo 6 del Reglamento (UE) 2016/679. Los datos personales que se faciliten y compartan con un usuario de datos solo deben tratarse en el caso de los servicios prestados por un usuario de datos cuando exista una base jurídica válida en virtud del artículo 6, apartado 1, del Reglamento (UE) 2016/679 y, cuando proceda, cuando se cumplan los requisitos del artículo 9 de dicho Reglamento sobre el tratamiento de categorías especiales de datos.

(49)El presente Reglamento se basa en las disposiciones de la Directiva (UE) 2015/2366 relativas a la «banca abierta» y las complementa, y es plenamente coherente con el Reglamento (UE).../202 del Parlamento Europeo y del Consejo sobre servicios de pago y por el que se modifican el Reglamento (UE) n.º 1093/2010 19 y la Directiva (UE).../202... del Parlamento Europeo y del Consejo sobre servicios de pago y servicios de dinero electrónico, por el que se modifican las Directivas 2013/36/UE y 98/26/CE y se derogan las Directivas (UE) 2015/2355 y 2009/110/CE 20 . La iniciativa complementa las disposiciones sobre «banca abierta» ya existentes en virtud de la Directiva (UE) 2015/2366, que regulan el acceso a los datos de cuentas de pago mantenidos por los proveedores de servicios de pago gestores de cuentas. Se basa en las lecciones aprendidas sobre la «banca abierta» tal como se definen en la revisión de la Directiva (UE) 2015/2366 21 . El presente Reglamento garantiza la coherencia entre el acceso a los datos financieros y la banca abierta cuando sean necesarias medidas adicionales, incluidas las relativas a los paneles de control de permisos, las obligaciones legales de conceder acceso directo a los datos de los clientes y el requisito de que los titulares de datos establezcan interfaces.

(50)El presente Reglamento no afecta a las disposiciones relativas al acceso a los datos y al intercambio de datos en la legislación de la Unión en materia de servicios financieros, a saber: i) las disposiciones sobre el acceso a los índices de referencia y el régimen de acceso para los derivados negociados en un mercado regulado entre los centros de negociación y las entidades de contrapartida central establecidas en el Reglamento (UE) n.º 600/2014 del Parlamento Europeo y del Consejo 22 ; ii) las normas sobre el acceso de los acreedores a la base de datos con arreglo a la Directiva 2014/17/UE del Parlamento Europeo y del Consejo 23 ; iii) las normas sobre el acceso a los registros de titulizaciones en virtud del Reglamento (UE) 2017/2402 del Parlamento Europeo y del Consejo 24 ; iv) las normas sobre el derecho a solicitar a la aseguradora una certificación de antecedentes siniestrales y sobre el acceso a los repositorios centrales de los datos básicos necesarios para la liquidación de siniestros con arreglo a la Directiva 2009/103/CE del Parlamento Europeo y del Consejo 25 ; v) el derecho de acceso y transferencia de todos los datos personales necesarios a un nuevo proveedor de productos paneuropeos de pensiones individuales con arreglo al Reglamento (UE) 2019/1238 del Parlamento Europeo y del Consejo 26 ; y vi) las disposiciones sobre externalización y confianza en virtud de la Directiva (UE) 2018/843 del Parlamento Europeo y del Consejo 27 . Además, el presente Reglamento no afecta a la aplicación de las normas nacionales o de la UE en materia de competencia del Tratado de Funcionamiento de la Unión Europea ni de ningún acto derivado de la Unión. El presente Reglamento también se entiende sin perjuicio del acceso, el intercambio y la utilización de los datos sin hacer uso de las obligaciones de acceso a los datos establecidas por el presente Reglamento sobre una base puramente contractual.

(51)Dado que el intercambio de datos relativos a las cuentas de pago está regulado por un régimen diferente establecido en la Directiva (UE) 2015/2366, se considera apropiado establecer en el presente Reglamento una cláusula de revisión para que la Comisión examine si la introducción de las normas en virtud del presente Reglamento afecta a la forma en que los proveedores de servicios de información sobre cuentas acceden a los datos y si sería adecuado racionalizar las normas que rigen el intercambio de datos aplicables a los proveedores de servicios de información sobre cuentas.

(52)Dado que se debe exigir a la ABE, la AESPJ y la AEVM que hagan uso de sus competencias en relación con los proveedores de servicios de información financiera, es necesario garantizar que puedan ejercer todas sus competencias y funciones a fin de cumplir sus objetivos de protección del interés público contribuyendo a la estabilidad y eficacia del sistema financiero a corto, medio y largo plazo, para la economía de la Unión, sus ciudadanos y sus empresas, y velar por que los proveedores de servicios de información financiera estén cubiertos por los Reglamentos (UE) n.º 1093/2010 28 , (UE) n.º 1094/2010 29 y (UE) n.º 1095/2010 30 del Parlamento Europeo y del Consejo. Procede, por tanto, modificar dichos Reglamentos en consecuencia.

(53)La fecha de aplicación del presente Reglamento debe aplazarse XX meses con el fin de que puedan adoptarse las normas técnicas de regulación y los actos delegados necesarios para especificar determinados elementos del presente Reglamento.

(54)El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 2, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo 31 , emitió su dictamen el [……….]

HAN ADOPTADO EL PRESENTE REGLAMENTO:

TÍTULO I
Objeto, Ámbito de aplicación y Definiciones

Artículo 1
Objeto

El presente Reglamento establece normas sobre el acceso, el intercambio y la utilización de determinadas categorías de datos de los clientes en los servicios financieros.

El presente Reglamento también establece normas relativas a la autorización y el funcionamiento de los proveedores de servicios de información financiera.

Artículo 2
Ámbito de aplicación

1.El presente Reglamento se aplica a las siguientes categorías de datos de clientes sobre:

a)los contratos de crédito hipotecario, los préstamos y las cuentas, excepto las cuentas de pago tal como se definen en la Directiva (UE) 2015/2366 sobre servicios de pago, incluidos los datos sobre el saldo, las condiciones y las operaciones;

b)ahorro, inversiones en instrumentos financieros, productos de inversión basados en seguros, criptoactivos, bienes inmuebles y otros activos financieros conexos, así como los beneficios económicos derivados de dichos activos; incluidos los datos recogidos para llevar a cabo una evaluación de idoneidad y adecuación de conformidad con el artículo 25 de la Directiva 2014/65/UE del Parlamento Europeo y del Consejo 32 ;

c)los derechos de pensión en los planes de pensiones de empleo, de conformidad con la Directiva 2009/138/CE y la Directiva (UE) 2016/2341 del Parlamento Europeo y del Consejo 33 ;

d)los derechos de pensión derivados de la prestación de productos paneuropeos de pensiones individuales, de conformidad con el Reglamento (UE) 2019/1238;

e)los productos de seguro distinto del seguro de vida de conformidad con la Directiva 2009/138/CE, con excepción de los productos de seguro de salud y enfermedad; incluidos los datos recogidos a efectos de una evaluación de las exigencias y necesidades de conformidad con el artículo 20 de la Directiva (UE) 2016/97 del Parlamento Europeo y del Consejo 34 , y los datos recogidos a efectos de una evaluación de adecuación e idoneidad de conformidad con el artículo 30 de la Directiva (UE) 2016/97.

f)datos que forman parte de una evaluación de la solvencia de una empresa recopilados en el marco de un proceso de solicitud de préstamo o de una solicitud de calificación crediticia.

2.El presente Reglamento se aplicará a las siguientes entidades cuando actúen como titulares o usuarios de datos:

a)entidades de crédito;

b)entidades de pago, incluidos los proveedores de servicios de información sobre cuentas y las entidades de pago exentas en virtud de la Directiva (UE) 2015/2366;

c)entidades de dinero electrónico, incluidas las entidades de dinero electrónico exentas en virtud de la Directiva 2009/110/CE del Parlamento Europeo y del Consejo 35 ;

d)empresas de servicios de inversión;

e)proveedores de servicios de criptoactivos;

f)emisores de fichas referenciadas a activos;

g)gestores de fondos de inversión alternativos;

h)sociedades de gestión de organismos de inversión colectiva en valores mobiliarios;

i)empresas de seguros y de reaseguros;

j)intermediarios de seguros e intermediarios de seguros complementarios;

k)fondos de pensiones de empleo;

l)agencias de calificación crediticia;

m)proveedores de servicios de financiación participativa;

n)promotores de PEPP;

o)proveedores de servicios de información financiera

3.El presente Reglamento no se aplicará a las entidades a que se refiere el artículo 2, apartado 3, letras a) a e), del Reglamento (UE) 2022/2554.

4.El presente Reglamento no afecta a la aplicación de otros actos jurídicos de la Unión relativos al acceso a los datos de los clientes y al intercambio de estos a que se refiere el apartado 1, a menos que se disponga específicamente en el presente Reglamento.

Artículo 3
Definiciones

A los efectos del presente Reglamento, se entenderá por:

1)«consumidor», la persona física que actúe con fines distintos de su actividad comercial, empresarial o profesional;

2)«cliente», la persona física o jurídica que haga uso de productos y servicios financieros;

3)«datos de clientes», los datos personales y no personales recogidos, almacenados y tratados de otro modo por una entidad financiera en el marco de su actividad normal con los clientes, que abarcan tanto los datos facilitados por un cliente como los generados en el curso de la interacción de los clientes con la entidad financiera;

4)«autoridad competente», la autoridad designada por cada Estado miembro de conformidad con el artículo 17 y, en el caso de las entidades financieras, cualquiera de las autoridades competentes enumeradas en el artículo 46 del Reglamento (UE) 2022/2554;

5)«titular de datos», una entidad financiera distinta de un proveedor de servicios de información sobre cuentas que recoge, almacena y trata de otro modo los datos enumerados en el artículo 2, apartado 1;

6)«usuario de datos», cualquiera de las entidades enumeradas en el artículo 2, apartado 2, que, tras el permiso de un cliente, tiene acceso lícito a los datos de los clientes enumerados en el artículo 2, apartado 1;

7)«proveedor de servicios de información financiera», un usuario de datos autorizado con arreglo al artículo 14 para acceder a los datos de los clientes enumerados en el artículo 2, apartado 1, para la prestación de servicios de información financiera;

8)«entidad financiera», las entidades enumeradas en el artículo 2, apartado 2, letras a) a n), que sean titulares de datos, usuarios de datos o ambos a efectos del presente Reglamento.

9)«cuenta de inversión», cualquier registro gestionado por una empresa de inversión, una entidad de crédito o un corredor de seguros sobre las tenencias actuales de instrumentos financieros o productos de inversión basados en seguros de su cliente, incluidas las operaciones pasadas y otros puntos de datos relativos a eventos del ciclo de vida de dicho instrumento;

10)«datos no personales», los datos que no sean datos personales, tal y como se definen estos en el artículo 4, apartado 1, del Reglamento (UE) 2016/679;

11)«datos personales», los datos personales tal como se definen en el artículo 4, apartado 1, del Reglamento (UE) n.º 2016/679;

12)«entidad de crédito», una entidad de crédito de acuerdo con la definición del artículo 4, apartado 1, punto 1, del Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo 36 ;

13)«empresa de servicios de inversión», una empresa de servicios de inversión de acuerdo con la definición del artículo 4, apartado 1, punto 1, de la Directiva 2014/65/UE;

14)«proveedor de servicios de criptoactivos», un proveedor de servicios de criptoactivos tal como se define en el artículo 3, apartado 1, punto 15, del Reglamento (UE) 2023/1114 del Parlamento Europeo y del Consejo 37 ;

15)«emisor de fichas referenciadas a activos», un emisor de fichas referenciadas a activos autorizado en virtud del artículo 21 del Reglamento (UE) 2023/1114;

16)«entidad de pago», una entidad de pago tal como se define en el artículo 4, apartado 4, de la Directiva (UE) 2015/2366;

17)«proveedor de servicios de información sobre cuentas», un proveedor de servicios de información sobre cuentas a que se refiere el artículo 33, apartado 1, de la Directiva (UE) 2015/2366;

18)«entidad de dinero electrónico», una entidad de dinero electrónico tal como se define en el artículo 2, apartado 1, de la Directiva 2009/110/CE;

19)«entidad de dinero electrónico exenta en virtud de la Directiva 2009/110/CE», una entidad de dinero electrónico que se acoge a una exención a tenor del artículo 9, apartado 1, de la Directiva 2009/110/CE;

20)«gestor de fondos de inversión alternativos», un gestor de fondos de inversión alternativos tal como se define en el artículo 4, apartado 1, letra b), de la Directiva 2011/61/UE del Parlamento Europeo y del Consejo 38 ;

21)«sociedad de gestión de organismos de inversión colectiva en valores mobiliarios», una sociedad de gestión tal como se define en el artículo 2, apartado 1, letra b), de la Directiva 2009/65/CE del Parlamento Europeo y del Consejo 39 ;

22)«empresa de seguros», una empresa de seguros tal como se define en el artículo 13, apartado 1, de la Directiva 2009/138/CE;

23)«empresa de reaseguros», una empresa de reaseguros tal como se define en el artículo 13, apartado 4, de la Directiva 2009/138/CE;

24)«intermediario de seguros», un intermediario de seguros tal como se define en el artículo 2, apartado 1, punto 3, de la Directiva (UE) 2016/97 del Parlamento Europeo y del Consejo 40 ;

25)«intermediario de seguros complementarios», un intermediario de seguros complementarios tal como se define en el artículo 2, apartado 1, punto 4, de la Directiva (UE) 2016/97;

26)«fondo de pensiones de empleo», un fondo de pensiones de empleo tal como se define en el artículo 6, punto 1, de la Directiva (UE) 2016/2341;

27)«agencia de calificación crediticia», una agencia de calificación crediticia tal como se define en el artículo 3, apartado 1, punto b, del Reglamento (UE) n.º 1060/2009 del Parlamento Europeo y del Consejo 41 ;

28)«promotor de PEPP», un promotor de PEPP tal como se define en el artículo 2, apartado 15, del Reglamento (UE) 2019/1238 del Parlamento Europeo y del Consejo;

29)«representante legal», una persona física domiciliada en la Unión o una persona jurídica con domicilio social en la Unión y que, designada expresamente por un proveedor de servicios de información financiera establecido en un tercer país, actúe en nombre de dicho proveedor de servicios de información financiera ante las autoridades, los clientes, los organismos y las contrapartes del proveedor de servicios de información financiera en la Unión en lo que respecta a las obligaciones del proveedor de servicios de información financiera en virtud del presente Reglamento;

TITLE II
Acceso a los datos

Artículo 4
Obligación de facilitar los datos al cliente

El titular de datos, tras una petición de un cliente presentada por medios electrónicos, pondrá a su disposición los datos enumerados en el artículo 2, apartado 1, sin demora indebida, de forma gratuita, continua y en tiempo real.

Artículo 5
Obligaciones del titular de los datos de facilitar los datos de los clientes a un usuario de datos

1.El titular de los datos, tras una petición de un cliente presentada por medios electrónicos, pondrá a disposición de un usuario de datos los datos de los clientes enumerados en el artículo 2, apartado 1, para los fines para los que el cliente haya concedido permiso al usuario de datos. Los datos de los clientes se facilitarán al usuario de los datos sin demora indebida, de forma continua y en tiempo real.

2.El titular de los datos solo podrá reclamar una compensación a un usuario de datos por facilitar datos de los clientes de conformidad con el apartado 1 si los datos de los clientes se facilitan a un usuario de datos de conformidad con las normas y modalidades de un sistema de intercambio de datos financieros, conforme a lo dispuesto en los artículos 9 y 10, o si se facilitan de conformidad con el artículo 11.

3.Al facilitar los datos con arreglo al apartado 1, el titular de los datos:

a)facilitará los datos de los clientes al usuario de datos en un formato basado en normas generalmente reconocidas y al menos con la misma calidad a disposición del titular de los datos;

b)se comunicará de forma segura con el usuario de los datos garantizando un nivel adecuado de seguridad para el tratamiento y la transmisión de los datos de los clientes;

c)solicitará a los usuarios de los datos que demuestren que han obtenido el permiso del cliente para acceder a los datos de los clientes que obren en poder del titular de los datos;

d)proporcionará al cliente un panel de control de permisos para supervisar y gestionar los permisos de conformidad con el artículo 8.

e)respetará la confidencialidad de los secretos comerciales y los derechos de propiedad intelectual al acceder a los datos de los clientes de conformidad con el artículo 5, apartado 1;

Artículo 6
Obligaciones del titular de datos que recibe datos de los clientes

1.Un usuario de datos solo podrá acceder a los datos de los clientes de conformidad con el artículo 5, apartado 1, si está sujeto a la autorización previa de una autoridad competente como entidad financiera o es proveedor de servicios de información financiera de conformidad con el artículo 14.

2.Los usuarios de datos solo accederán a los datos de los clientes facilitados con arreglo al artículo 5, apartado 1, para los fines y bajo las condiciones para los que el cliente haya concedido su autorización. Los usuarios de datos suprimirán los datos de los clientes cuando ya no sean necesarios para los fines para los que un cliente haya concedido el permiso.

3.Un cliente podrá retirar el permiso que haya concedido a un usuario de datos. Cuando el tratamiento sea necesario para la ejecución de un contrato, el cliente podrá retirar el permiso que haya concedido para facilitar sus datos a un usuario de datos con arreglo a las obligaciones contractuales a las que esté sujeto.

4.Para garantizar la gestión eficaz de los datos de los clientes, un usuario de datos:

a)no tratará datos de clientes para fines distintos de la prestación del servicio solicitado explícitamente por el cliente;

b)respetará la confidencialidad de los secretos comerciales y los derechos de propiedad intelectual al acceder a los datos de los clientes de conformidad con el artículo 5, apartado 1;

c)aplicará las medidas técnicas, jurídicas y organizativas adecuadas para impedir el acceso a datos no personales o su transferencia cuando dicho acceso o transferencia sean ilícitos con arreglo al Derecho de la Unión o al Derecho nacional de un Estado miembro;

d)adoptará las medidas necesarias para garantizar un nivel adecuado de seguridad para el almacenamiento, el tratamiento y la transmisión de los datos no personales de los clientes;

e)no tratará datos de clientes con fines publicitarios, excepto para la comercialización directa de conformidad con el Derecho de la Unión y nacional;

f)cuando el usuario de datos forme parte de un grupo de empresas, los datos de los clientes enumerados en el artículo 2, apartado 1, solo serán consultados y tratados por la entidad del grupo que actúe como usuario de datos.

TÍTULO III
Uso responsable de los datos y Paneles de control de permisos

Artículo 7
Perímetro de uso de los datos

1.El tratamiento de los datos de los clientes a que se refiere el artículo 2, apartado 1, del presente Reglamento que constituyan datos personales se limitará a lo necesario en relación con los fines para los que se traten.

2.De conformidad con el artículo 16 del Reglamento (UE) n.º 1093/2010, la Autoridad Bancaria Europea (ABE) elaborará directrices sobre la aplicación del apartado 1 del presente artículo para los productos y servicios relacionados con la calificación crediticia del consumidor.

3.De conformidad con el artículo 16 del Reglamento (UE) n.º 1094/2010, la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ) elaborará directrices sobre la aplicación del apartado 1 del presente artículo para los productos y servicios relacionados con la evaluación del riesgo y la fijación de precios de un consumidor en el caso de los productos de seguro de vida, salud y enfermedad.

4.Al preparar las directrices a que se refieren los apartados 2 y 3 del presente artículo, la AESPJ y la ABE cooperarán estrechamente con el Consejo Europeo de Protección de Datos establecido por el Reglamento (UE) 2016/679.

Artículo 8
Paneles de control de permisos de acceso a los datos financieros

1.El titular de datos proporcionará al cliente un panel de control de permisos para supervisar y gestionar los permisos que un cliente haya concedido a los usuarios de datos.

2.El panel de control de permisos deberá:

a)proporcionar al cliente una visión general de cada permiso en curso concedido a los usuarios de datos, que incluya:

i)el nombre del usuario de los datos al que se ha concedido el acceso;

ii)la cuenta de cliente, el producto o el servicio financiero a los que se haya concedido acceso;

iii)la finalidad del acceso;

iv)las categorías de datos que se comparten;

v)el periodo de validez del permiso.

b)permitir al cliente retirar el permiso concedido a un usuario de datos;

c)permitir al cliente restablecer cualquier permiso retirado;

d)incluir un registro de permisos retirados o caducados por un período de dos años.

3.El titular de los datos velará por que el panel de control de permisos sea fácil de encontrar en su interfaz de usuario y por que la información mostrada en dicho panel de control sea clara, precisa y fácilmente comprensible para el cliente.

4.El titular de datos y el usuario de datos para los que un cliente haya concedido permiso cooperarán para facilitar la información al cliente a través del panel de control en tiempo real. Para cumplir las obligaciones establecidas en el apartado 2, letras a), b), c) y d), del presente artículo:

a)El titular de datos informará al usuario de datos de los cambios introducidos en un permiso relativo a dicho usuario de datos por un cliente a través del panel de control.

b)Un usuario de datos informará al titular de datos de un nuevo permiso concedido por un cliente en relación con los datos de clientes que obren en su poder, en particular:

i)la finalidad de la autorización concedida por el cliente;

ii)el periodo de validez del permiso.

iii)las categorías de datos de que se trate.

TÍTULO IV
Sistemas de intercambio de datos financieros

Artículo 9
Afiliación a los sistemas de intercambio de datos financieros

1.En el plazo de dieciocho meses a partir de la entrada en vigor del presente Reglamento, los titulares y usuarios de datos se afiliarán a un sistema de intercambio de datos financieros que regule el acceso a los datos de los clientes de conformidad con el artículo 10.

2.Los titulares y usuarios de datos pueden afiliarse a más de un sistema de intercambio de datos financieros.

Todo intercambio de datos se llevará a cabo de conformidad con las normas y modalidades de un sistema de intercambio de datos financieros al que estén afiliados tanto el usuario de datos como el titular de los datos.

Artículo 10
Gobernanza y contenido de los sistemas de intercambio de datos financieros

1.Un sistema de intercambio de datos financieros incluirá los siguientes elementos:

a)los miembros de un sistema de intercambio de datos financieros incluirán:

i)los titulares de datos y los usuarios de datos que representen una proporción significativa del mercado del producto o servicio de que se trate, de tal manera que cada parte tenga una representación justa y equitativa en los procesos internos de toma de decisiones del sistema, así como igual peso en cualquier procedimiento de votación; cuando un miembro sea a la vez titular de datos y usuario de datos, su pertenencia se contabilizará por igual para ambas partes;

ii)organizaciones y asociaciones de consumidores.

b)las normas aplicables a los miembros del sistema de intercambio de datos financieros se aplicarán por igual a todos los miembros y no se dará un trato favorable o diferenciado injustificado entre los miembros;

c)las normas de afiliación a un sistema de intercambio de datos financieros garantizarán que el sistema esté abierto a la participación de cualquier titular de datos y usuario de datos sobre la base de criterios objetivos y que todos los miembros sean tratados de manera justa y equitativa;

d)un sistema de intercambio de datos financieros no impondrá controles ni condiciones adicionales para el intercambio de datos distintos de los previstos en el presente Reglamento o en otro acto legislativo de la Unión aplicable;

e)un sistema de intercambio de datos financieros incluirá un mecanismo a través del cual puedan modificarse sus normas, tras un análisis de impacto y el acuerdo de la mayoría de cada comunidad de titulares y usuarios de datos, respectivamente;

f)un sistema de intercambio de datos financieros incluirá normas sobre transparencia y, en caso necesario, sobre información a sus miembros;

g)un sistema de intercambio de datos financieros incluirá las normas comunes para que las interfaces técnicas y de datos permitan a los clientes solicitar el intercambio de datos de conformidad con el artículo 5, apartado 1. Las normas comunes para las interfaces técnicas y de datos que los miembros del sistema acuerden utilizar podrán ser elaboradas por los miembros del sistema o por otras partes u organismos;

h)un sistema de intercambio de datos financieros establecerá un modelo para determinar la compensación máxima que un titular de datos tiene derecho a cobrar por facilitar los datos a través de una interfaz técnica adecuada para el intercambio de datos con los usuarios de datos en consonancia con las normas comunes elaboradas en virtud de la letra g). El modelo se basará en los siguientes principios:

i)debe limitarse a una compensación razonable directamente relacionada con la facilitación de los datos al usuario de datos y que sea atribuible a la solicitud;

ii)debe basarse en una metodología objetiva, transparente y no discriminatoria acordada por los partícipes del sistema;

iii)debe basarse en datos de mercado exhaustivos recogidos de los usuarios y titulares de datos sobre cada uno de los elementos de coste que deben tenerse en cuenta, claramente identificados en consonancia con el modelo;

iv)debe revisarse y controlarse periódicamente para tener en cuenta el progreso tecnológico;

v)debe concebirse para orientar la compensación hacia los niveles más bajos que prevalezcan en el mercado; y

vi)debe limitarse a las solicitudes de datos de los clientes con arreglo al artículo 2, apartado 1, o ser proporcional a los conjuntos de datos conexos incluidos en el ámbito de aplicación de dicho artículo en el caso de solicitudes de datos combinadas.

Cuando el usuario de datos sea una microempresa o una pequeña o mediana empresa, conforme a la definición del artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión de 6 de mayo de 2003 42 , toda compensación que se acuerde no deberá superar los costes directamente relacionados con la puesta a disposición del destinatario de estos y que sean atribuibles a la solicitud.

i)un sistema de intercambio de datos financieros determinará la responsabilidad contractual de sus miembros, incluso en caso de que los datos sean inexactos, de calidad inadecuada, de que la seguridad de los datos se vea comprometida o de que los datos se utilicen indebidamente. En el caso de los datos personales, las disposiciones sobre la responsabilidad del sistema de intercambio de datos financieros se ajustarán a lo dispuesto en el Reglamento (UE) 2016/679;

j)un sistema de intercambio de datos financieros establecerá un sistema de resolución de litigios independiente, imparcial, transparente y eficaz para resolver los litigios entre los miembros del sistema y las cuestiones relativas a la afiliación, de conformidad con los requisitos de calidad establecidos en la Directiva 2013/11/UE del Parlamento Europeo y del Consejo 43 .

2.La afiliación a sistemas de intercambio de datos financieros permanecerá abierta a nuevos miembros en los mismos términos y condiciones que los de los miembros existentes en cualquier momento.

3.El titular de datos comunicará a la autoridad competente del Estado miembro en que esté establecido los sistemas de intercambio de datos financieros de los que forme parte, en el plazo de un mes a partir de su afiliación a un sistema.

4.Un sistema de intercambio de datos financieros establecido de conformidad con el presente artículo se notificará a la autoridad competente del Estado en que estén establecidos los tres titulares de datos más significativos que sean miembros de dicho sistema en el momento de su establecimiento. Cuando los tres titulares de datos más significativos estén establecidos en diferentes Estados miembros, o cuando haya más de una autoridad competente en el Estado miembro de establecimiento de los tres titulares de datos más significativos, el sistema se notificará a todas estas autoridades, que acordarán entre sí cuál de ellas llevará a cabo la evaluación a que se refiere el apartado 6.

5.La notificación de conformidad con el apartado 4 tendrá lugar en el plazo de un mes a partir de la creación del sistema de intercambio de datos financieros e incluirá sus modalidades y características de gobernanza de conformidad con el apartado 1.

6.En el plazo de un mes a partir de la recepción de la notificación con arreglo al apartado 4, la autoridad competente evaluará si las modalidades y características de gobernanza del sistema de intercambio de datos financieros se ajustan a lo dispuesto en el apartado 1. Al evaluar la conformidad del sistema de intercambio de datos financieros con el apartado 1, la autoridad competente podrá consultar a otras autoridades competentes.

Una vez finalizada su evaluación, la autoridad competente informará a la ABE acerca de un sistema de intercambio de datos financieros notificado que cumple lo dispuesto en el apartado 1. Un régimen notificado a la ABE de conformidad con el presente apartado será reconocido en todos los Estados miembros a efectos del acceso a los datos con arreglo al artículo 5, apartado 1, y no requerirá más notificación en ningún otro Estado miembro.

Artículo 11
Facultad de adoptar un acto delegado en caso de ausencia de un sistema de intercambio de datos financieros

En caso de que no se desarrolle un sistema de intercambio de datos financieros para una o varias de las categorías de datos de clientes enumeradas en el artículo 2, apartado 1, y no existan perspectivas realistas de que dicho sistema se establezca en un plazo razonable, la Comisión estará facultada para adoptar un acto delegado con arreglo al artículo 30 por el que se complete el presente Reglamento especificando las siguientes modalidades con arreglo a las cuales el titular de datos facilitará los datos de los clientes de conformidad con el artículo 5, apartado 1, para esa categoría de datos:

a)normas comunes para que las interfaces de datos y, en su caso, las interfaces técnicas permitan a los clientes solicitar el intercambio de datos con arreglo al artículo 5, apartado 1;

b)un modelo para determinar la compensación máxima que un titular de datos tiene derecho a cobrar por facilitar los datos;

c)la responsabilidad de las entidades implicadas en la puesta a disposición de los datos de los clientes.

TÍTULO V
Admisibilidad para el acceso y la organización de datos

Artículo 12
Solicitud de autorización de los proveedores de servicios de información financiera 

1.Un proveedor de servicios de información financiera podrá acceder a los datos de los clientes con arreglo al artículo 5, apartado 1, si está autorizado por la autoridad competente de un Estado miembro.

2.Un proveedor de servicios de información financiera presentará una solicitud de autorización a la autoridad competente del Estado miembro de establecimiento de su domicilio social, junto con lo siguiente:

a) un programa de actividades en el que se indique, en particular, el tipo previsto de acceso a los datos;

b)un plan de negocios que incluya un cálculo de las previsiones presupuestarias para los tres primeros ejercicios, que demuestre que el solicitante podrá emplear sistemas, recursos y procedimientos adecuados y proporcionados para operar correctamente;

c)una descripción de los métodos de gobernanza y mecanismos de control interno del solicitante, incluidos los procedimientos administrativos, de gestión del riesgo y contables, así como de los mecanismos para la utilización de los servicios de TIC de conformidad con el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, que demuestre que dichos métodos de gobernanza, mecanismos y procedimientos de control son proporcionados, apropiados, sólidos y adecuados;

d)una descripción del procedimiento establecido para la supervisión, la tramitación y el seguimiento de los incidentes de seguridad y las reclamaciones de los consumidores al respecto, incluido un mecanismo de notificación de incidentes que atienda a las obligaciones de notificación establecidas en el capítulo III del Reglamento (UE) 2022/2554;

e)una descripción de los mecanismos que garanticen la continuidad de la actividad, con inclusión de una delimitación clara de las operaciones esenciales, planes y política de continuidad de las actividades de TIC y planes de respuesta y recuperación en materia de TIC efectivos, así como un procedimiento para poner a prueba y revisar periódicamente la adecuación y eficiencia de dichos planes de conformidad con el Reglamento (UE) 2022/2554;

f)un documento relativo a la política de seguridad, que incluya una evaluación pormenorizada de riesgos en relación con sus operaciones y una descripción de las medidas de control de la seguridad y mitigación de los riesgos adoptadas para proteger adecuadamente a sus clientes de dichos riesgos, incluido el fraude;

g)una descripción de la organización estructural del solicitante, así como una descripción de los acuerdos de externalización;

h)la identidad de los administradores y las personas responsables de la gestión del solicitante y, en su caso, de las personas responsables de la gestión de las actividades de acceso a los datos del solicitante, así como pruebas de su honorabilidad, experiencia y conocimientos adecuados para el acceso a los datos según determine el presente Reglamento;

i)el estatuto jurídico y los estatutos sociales del solicitante;

j)la dirección de la administración central del solicitante;

k)cuando proceda, el acuerdo escrito entre el proveedor de servicios de información financiera y el representante legal que acredite la designación, el alcance de la responsabilidad y las tareas que debe llevar a cabo el representante legal de conformidad con el artículo 13.

A efectos del primer apartado, letras c), d) y g), el solicitante facilitará una descripción de sus procedimientos de auditoría y de las disposiciones organizativas que haya establecido a fin de adoptar todas las medidas razonables para proteger los intereses de sus clientes y garantizar la continuidad y fiabilidad de la prestación de sus actividades.

Las medidas de control de la seguridad y mitigación a que se refiere el párrafo primero, letra f), indicarán cómo el solicitante garantizará un alto nivel de resiliencia operativa digital de conformidad con el capítulo II del Reglamento (UE) 2022/2554, en particular en relación con la seguridad técnica y la protección de datos, incluidos los programas informáticos y los sistemas de TIC utilizados por el solicitante o las empresas a las que externalice la totalidad o parte de sus operaciones.

3.Los proveedores de servicios de información financiera dispondrán de un seguro de responsabilidad civil profesional que cubra los territorios en los que accedan a los datos, u otra garantía comparable, y garantizarán lo siguiente:

a)capacidad de cubrir su responsabilidad derivada del acceso no autorizado o fraudulento a los datos, o del uso no autorizado o fraudulento de los mismos;

b)capacidad de cubrir el valor de cualquier exceso, umbral o deducible del seguro o garantía comparable;

c)seguimiento continuo de la cobertura del seguro o de la garantía comparable.

Como alternativa a la suscripción de un seguro de responsabilidad civil profesional u otra garantía comparable, tal como se exige en el párrafo primero, la empresa a que se refiere el párrafo anterior tendrá un capital inicial de 50 000 EUR, que podrá ser sustituido por un seguro de responsabilidad civil profesional u otra garantía comparable tras el inicio de su actividad como proveedor de servicios de información financiera, sin demora injustificada.

4.La ABE, en cooperación con la AEVM y la AESPJ, elaborará, previa consulta a todas las partes interesadas pertinentes, proyectos de normas técnicas de regulación que especifiquen:

a)la información que debe facilitarse a la autoridad competente en la solicitud de autorización de los proveedores de servicios de información financiera, incluidos los requisitos establecidos en el apartado 1, letras a) a l);

b)una metodología común de evaluación para conceder la autorización como proveedor de servicios de información financiera, con arreglo al presente Reglamento;

c)qué se entiende por garantía comparable, en el sentido del apartado 2, que debe ser intercambiable con un seguro de responsabilidad civil profesional;

d)los criterios para establecer el importe mínimo del seguro de responsabilidad civil profesional u otra garantía comparable a que se refiere el apartado 2.

Al elaborar estas normas técnicas de regulación, la ABE tendrá en cuenta lo siguiente:

a)el perfil de riesgo de la empresa;

b)si la empresa presta otros tipos de servicios o ejerce otras actividades;

c)el volumen de la actividad;

d)las características específicas de las garantías comparables y los criterios para su aplicación.

La ABE presentará a la Comisión los proyectos de normas técnicas de regulación a que se refiere el párrafo primero a más tardar el [OP: insértese la fecha correspondiente a nueve meses después de la entrada en vigor del presente Reglamento].

Se confieren a la Comisión las facultades para adoptar las normas técnicas de regulación a que se refiere el párrafo primero del presente apartado de conformidad con los artículos 10 a 14 del Reglamento (UE) 1093/2015.

De conformidad con el artículo 10 del Reglamento (UE) 1093/2010, la ABE revisará y, si procede, actualizará estas normas técnicas de regulación.

Artículo 13
Representantes legales

1.Los proveedores de servicios de información financiera que no estén establecidos en la Unión pero que necesiten acceder a datos financieros en la Unión designarán por escrito a una persona física o jurídica como su representante legal en uno de los Estados miembros desde los que el proveedor de servicios de información financiera tenga la intención de acceder a los datos financieros.

2.Los proveedores de servicios de información financiera concederán un mandato a sus representantes legales ante las autoridades competentes para que estas se dirijan a ellos, además o en lugar del proveedor de servicios de información financiera, en relación con todas las cuestiones necesarias para la recepción, el cumplimiento y la ejecución del presente Reglamento. Los proveedores de servicios de información financiera dotarán a su representante legal de las facultades y los recursos necesarios para que puedan cooperar con las autoridades competentes y garantizar el cumplimiento de sus decisiones.

3.Se podrán exigir responsabilidades al representante legal designado por el incumplimiento de las obligaciones estipuladas en el presente Reglamento, sin perjuicio de la responsabilidad del proveedor de servicios de información financiera y de las acciones legales que puedan iniciarse contra este.

4.Los proveedores de servicios de información financiera notificarán el nombre, el domicilio, la dirección de correo electrónico y el número de teléfono de su representante legal a la autoridad competente del Estado miembro donde dicho representante legal resida o esté establecido. Se asegurarán de que esa información se mantenga actualizada.

5.La designación de un representante legal en la Unión en virtud del apartado 1 no constituirá un establecimiento en la Unión.

Artículo 14
Concesión y retirada de la autorización de los proveedores de servicios de información financiera

1.La autoridad competente concederá una autorización si la información y las pruebas que acompañan a la solicitud cumplen los requisitos establecidos en el artículo 11, apartados 1, y 2. Con anterioridad a la concesión de una autorización, la autoridad competente podrá consultar, cuando proceda, a otras autoridades públicas pertinentes.

2.La autoridad competente autorizará a un proveedor de servicios de información financiera de un tercer país siempre que se cumplan todas las condiciones siguientes:

a)el proveedor de servicios de información financiera del tercer país ha cumplido todas las condiciones establecidas en los artículos 12 y 16;

b)el proveedor de servicios de información financiera del tercer país ha designado un representante legal de conformidad con el artículo 13;

c)cuando el proveedor de servicios de información financiera del tercer país esté sujeto a supervisión, la autoridad competente procurará establecer un acuerdo de cooperación adecuado con la autoridad competente pertinente del tercer país en el que esté establecido el proveedor de servicios de información financiera, a fin de garantizar un intercambio eficiente de información;

d)el tercer país en el que esté establecido el proveedor de servicios de información financiera no figura en la lista de países y territorios no cooperadores a efectos fiscales en el marco de la política pertinente de la Unión o como territorio de un tercer país de alto riesgo que presente deficiencias de conformidad con el Reglamento Delegado (UE) 2016/1675 44 de la Comisión.

3.La autoridad competente concederá una autorización únicamente si, teniendo en cuenta la necesidad de garantizar una gestión adecuada y prudente de un proveedor de servicios de información financiera, el proveedor de servicios de información financiera cuenta con sólidos mecanismos de gobernanza para sus actividades de servicios de información. Esto incluye una estructura organizativa clara, con líneas de responsabilidad bien definidas, transparentes y coherentes, procedimientos eficaces para identificar, gestionar, supervisar y notificar los riesgos a los que esté o pueda estar expuesta, y mecanismos adecuados de control interno, incluidos procedimientos administrativos y contables sólidos. Tales métodos, procedimientos y mecanismos serán exhaustivos y proporcionados a la naturaleza, escala y complejidad de los servicios de información prestados por el proveedor de servicios de información financiera.

4.La autoridad competente únicamente concederá una autorización cuando el buen ejercicio de su misión de supervisión no se vea obstaculizado por las disposiciones legales, reglamentarias o administrativas del Derecho aplicables a una o varias de las personas físicas o jurídicas con las que el proveedor de servicios de información financiera mantenga vínculos estrechos, o por problemas relacionados con la aplicación de dichas disposiciones legales, reglamentarias o administrativas.

5.La autoridad competente concederá una autorización únicamente si considera que los acuerdos de externalización no convierten al proveedor de servicios de información financiera en una entidad ficticia o que no se han emprendido como medio para eludir las disposiciones del presente Reglamento.

6.En el plazo de tres meses desde la recepción de una solicitud o, en caso de que la misma esté incompleta, de toda la información necesaria para adoptar la decisión, la autoridad competente informará al solicitante de la aceptación o denegación de la solicitud. La autoridad competente deberá motivar toda denegación de autorización.

7.La autoridad competente podrá revocar la autorización a un proveedor de servicios de información financiera únicamente cuando el proveedor:

a)no haga uso de la autorización en un plazo de doce meses, renuncie expresamente a la autorización o haya cesado toda actividad durante más de seis meses;

b)haya obtenido la autorización por medio de falsas declaraciones o por cualquier otro medio irregular;

c)no reúna ya las condiciones para la concesión de autorización o no informe a la autoridad competente sobre todo cambio significativo a este respecto;

d)pueda constituir un riesgo para la protección de los consumidores y la seguridad de los datos.

La autoridad competente deberá motivar toda revocación de la autorización y lo comunicará a los interesados. La autoridad competente hará pública la retirada de una autorización en una versión anonimizada.

Artículo 15
Registro

1.La ABE desarrollará, gestionará y mantendrá un registro electrónico central que contenga la siguiente información:

a)los proveedores de servicios de información financiera autorizados.

b)los proveedores de servicios de información financiera que hayan notificado su intención de acceder a los datos en un Estado miembro distinto de su Estado miembro de origen.

c)los sistemas de intercambio de datos financieros acordados entre los titulares y los usuarios de datos.

2.El registro a que se refiere el apartado 1 solo contendrá datos anonimizados.

3.El registro estará a disposición del público en el sitio web de la ABE y facilitará la búsqueda y el acceso a la información enumerada.

4.La ABE inscribirá en el registro a que se refiere el apartado 1 toda retirada de la autorización de los proveedores de servicios de información financiera o la terminación de un sistema de intercambio de datos financieros.

5.Las autoridades competentes de los Estados miembros comunicarán sin demora a la ABE la información necesaria para el desempeño de sus funciones con arreglo a los apartados 1 y 3. Las autoridades competentes serán responsables de la precisión de la información especificada en los apartados 1 y 3, así como de mantenerla actualizada. Cuando sea técnicamente posible, transmitirán esta información a la ABE de forma automatizada.

Artículo 16

Requisitos organizativos aplicables a los proveedores de servicios de información financiera

Los proveedores de servicios de información financiera deberán cumplir los siguientes requisitos organizativos:

a)establecerán políticas y procedimientos suficientes para garantizar el cumplimiento de sus obligaciones en virtud del presente Reglamento, incluidos sus directivos y empleados;

b)tomarán medidas razonables para garantizar la continuidad y la regularidad en el desempeño de sus actividades. A tal fin, el proveedor de servicios de información financiera empleará sistemas, recursos y procedimientos adecuados y proporcionados para garantizar la continuidad de sus operaciones esenciales, dispondrá de planes de emergencia y de un procedimiento para comprobar y revisar periódicamente la adecuación y eficiencia de dichos planes;

c)cuando dependa de un tercero para el desempeño de funciones que sean esenciales para la prestación de un servicio continuo y satisfactorio a los clientes y para la realización de actividades de forma continua y satisfactoria, adoptarán medidas razonables para evitar riesgos operativos adicionales indebidos. La externalización de funciones operativas importantes no podrá llevarse a cabo de manera que afecte significativamente a la calidad de su control interno y a la capacidad del supervisor para supervisar el cumplimiento de todas las obligaciones por parte del proveedor de servicios de información financiera;

d)dispondrán de procedimientos de gobernanza, administrativos y contables sólidos, mecanismos de control interno, técnicas eficaces de valoración y gestión del riesgo y mecanismos eficaces de control y salvaguardia de sus sistemas informáticos;

e)sus directores y las personas responsables de su gestión, así como las personas responsables de la gestión de las actividades de acceso a los datos del proveedor de servicios de información financiera, gozarán de buena reputación y poseerán los conocimientos, capacidades y experiencia adecuados, tanto individual como colectivamente, para el desempeño de sus funciones;

f)establecerán y mantendrán procedimientos eficaces y transparentes para la supervisión, el tratamiento y el seguimiento rápido, justo y coherente de los incidentes de seguridad y las reclamaciones de los consumidores al respecto, incluido un mecanismo de notificación que atienda a las obligaciones de notificación establecidas en el capítulo III del Reglamento (UE) 2022/2554;

TÍTULO VI
Autoridades competentes y Marco de supervisión

Artículo 17
Autoridades competentes

1.Los Estados miembros designarán a las autoridades competentes responsables de desempeñar las funciones y cometidos previstos en el presente Reglamento. Los Estados miembros notificarán dichas autoridades competentes a la Comisión.

2.Los Estados miembros velarán por que las autoridades competentes designadas en virtud del apartado 1 posean todas las facultades necesarias para el desempeño de su cometido.

Los Estados miembros velarán por que dichas autoridades competentes dispongan de los recursos necesarios, en particular en términos de personal especializado, para cumplir sus tareas con arreglo a las obligaciones derivadas del presente Reglamento.

3.Los Estados miembros que hayan designado en su jurisdicción a más de una autoridad competente para los asuntos regulados por el presente Reglamento velarán por que dichas autoridades colaboren estrechamente entre sí a fin de poder cumplir con eficacia sus cometidos respectivos.

4.En el caso de las entidades financieras, el cumplimiento del presente Reglamento será garantizado por las autoridades competentes que se especifican en el artículo 46 del Reglamento (UE) 2022/2554, de conformidad con las facultades conferidas por los respectivos actos jurídicos enumerados en dicho artículo y por el presente Reglamento.

Artículo 18
Facultades de las autoridades competentes

1.Las autoridades competentes dispondrán de todas las facultades de investigación que sean necesarias para el ejercicio de sus funciones. Dichas facultades incluirán:

a)la facultad de exigir a cualquier persona física o jurídicas que les proporcione cuanta información sea necesaria para desempeñar sus funciones de autoridad competente, incluida la información que se deba transmitir a intervalos regulares y en determinados formatos con fines de supervisión y fines estadísticos conexos;

b)la facultad de llevar a cabo todas las investigaciones necesarias en relación con cualquier persona contemplada en la letra a), que esté establecida o situada en el Estado miembro de que se trate, cuando sea necesario para desempeñar sus funciones de autoridad competente, incluida la facultad de:

i)exigir la presentación de documentos;

ii)examinar los datos en cualquier forma, incluidos los libros y registros de las personas a que se refiere la letra a), y hacer copias o extractos de dichos documentos;

iii)obtener explicaciones escritas u orales de cualquier persona mencionada en la letra a) o de sus representantes o personal y, en caso necesario, citar e interrogar a dicha persona con el fin de obtener información;

iv)entrevistar a cualquier otra persona física que acepte ser entrevistada a fin de recabar información relacionada con el objeto de una investigación;

v)sin perjuicio de otras condiciones establecidas en el Derecho de la Unión o en el Derecho nacional, la facultad de llevar a cabo las inspecciones necesarias en los locales de las personas jurídicas y en centros distintos de la residencia privada de las personas físicas a que se refiere la letra a), así como de cualquier otra persona jurídica incluida en la supervisión consolidada cuando una autoridad competente sea el supervisor en base consolidada, previa notificación a las autoridades competentes afectadas.

vi)acceder a los locales de personas físicas y jurídicas, de conformidad con la legislación nacional, a fin de proceder a la incautación de documentos y datos bajo cualquier forma cuando haya una sospecha razonable de la existencia de documentos o datos relativos al objeto de la inspección o investigación que puedan ser necesarios y relevantes para probar un caso de infracción de las disposiciones del presente Reglamento;

vii)solicitar, en la medida en que lo permita el Derecho nacional, los registros existentes sobre tráfico de datos que mantenga una empresa de telecomunicaciones cuando haya una sospecha razonable de que se haya cometido una infracción y cuando dichos registros puedan ser pertinentes para la investigación de una infracción del presente Reglamento;

viii)solicitar la congelación o el embargo de activos, o ambos;

ix)remitir asuntos para su investigación penal;

c)a falta de otros medios disponibles para poner fin o prevenir cualquier infracción del presente Reglamento y con el fin de evitar el riesgo de perjuicio grave para los intereses de los consumidores, las autoridades competentes podrán adoptar cualquiera de las siguientes medidas, incluso solicitando a un tercero u otra autoridad pública que las aplique:

i)retirar contenidos o restringir el acceso a una interfaz en línea u ordenar que se muestre expresamente una advertencia a los consumidores cuando accedan a una interfaz en línea;

ii)ordenar a un proveedor de servicios de alojamiento de datos que suprima o desactive una interfaz en línea o que restrinja el acceso a ella;

iii)ordenar a registros y registradores de dominios que supriman un nombre de dominio completo y permitan a la correspondiente autoridad competente registrar dicha supresión.

La aplicación del presente apartado y el ejercicio de las competencias en él establecidas serán proporcionados y cumplirán el Derecho de la Unión y nacional, incluidas las garantías procesales aplicables y los principios de la Carta de los Derechos Fundamentales de la Unión Europea. Las medidas de investigación y ejecución adoptadas en virtud del presente Reglamento serán adecuadas en relación con la naturaleza y el perjuicio total real o potencial de la infracción.

2.Las autoridades competentes ejercerán sus facultades para investigar posibles infracciones del presente Reglamento e impondrán sanciones y otras medidas administrativas previstas en el presente Reglamento, de cualquiera de las siguientes maneras:

a)directamente;

b)en colaboración con otras autoridades;

c)delegando poderes en otras autoridades u organismos;

d)recurriendo a las autoridades judiciales competentes de un Estado miembro.

Cuando las autoridades competentes ejerzan sus facultades delegando en otras autoridades u organismos de conformidad con la letra c), la delegación de poderes especificará las tareas delegadas, las condiciones en las que se llevarán a cabo y las condiciones en las que podrán revocarse las competencias delegadas. Las autoridades u organismos en los que se deleguen las competencias se organizarán de manera que se eviten los conflictos de intereses. Las autoridades competentes supervisarán la actividad de las autoridades u organismos en los que se deleguen las competencias.

3.En el ejercicio de sus facultades de investigación y sancionadoras, también en los casos transfronterizos, las autoridades competentes cooperarán eficazmente entre sí y con las autoridades de cualquier sector afectado, según sea aplicable a cada caso y de conformidad con el Derecho nacional y de la Unión, para garantizar el intercambio de información y la asistencia mutua necesarios para la aplicación efectiva de las sanciones y medidas administrativas.

Artículo 19
Convenios transaccionales y procedimientos de ejecución acelerados

1.Sin perjuicio de lo dispuesto en el artículo 20, los Estados miembros podrán establecer normas que permitan a sus autoridades competentes archivar una investigación relativa a una presunta infracción del presente Reglamento, tras alcanzar un convenio transaccional, con el fin de poner fin a la presunta infracción y a sus consecuencias antes de que se inicie un procedimiento sancionador formal.

2.Los Estados miembros podrán establecer normas que permitan a sus autoridades competentes archivar una investigación relativa a una infracción constatada mediante un procedimiento de ejecución acelerado con el fin de adoptar una decisión rápida para imponer una sanción o medida administrativa. 

Facultar a las autoridades competentes para resolver o iniciar procedimientos de ejecución acelerados no afecta a las obligaciones que incumben a los Estados miembros en virtud del artículo 20.

3.Cuando los Estados miembros establezcan las normas a que se refiere el apartado 1 notificarán a la Comisión las disposiciones legales, reglamentarias y administrativas pertinentes que regulen el ejercicio de las competencias a que se refiere dicho apartado y le notificarán cualquier modificación posterior que afecte a dichas normas.

Artículo 20
Sanciones y otras medidas administrativas

1.Sin perjuicio de las facultades de supervisión e investigación de las autoridades competentes enumeradas en el artículo 18, los Estados miembros dispondrán, de conformidad con el Derecho nacional, que las autoridades competentes estén facultadas para adoptar las sanciones administrativas adecuadas y adoptar otras medidas administrativas en relación con las siguientes infracciones:

a)infracciones de los artículos 4, 5 y 6;

b)infracciones de los artículos 7 y 8;

c)infracciones de los artículos 9 y 10;

d)infracciones de los artículos 13 y 16;

e)infracciones del artículo 28.

2.Los Estados miembros podrán decidir no establecer normas sobre las sanciones y medidas administrativas aplicables a las infracciones del presente Reglamento que estén sujetas a sanciones en virtud del Derecho penal nacional. En tal caso, los Estados miembros notificarán a la Comisión las disposiciones pertinentes de Derecho penal y cualquier modificación posterior de las mismas.

3.Los Estados miembros, de conformidad con su Derecho nacional, velarán por que las autoridades competentes estén facultadas para adoptar las siguientes sanciones y otras medidas administrativas en el caso de las infracciones a que se refiere el apartado 1:

a)una declaración pública en la que se indique la persona física o jurídica responsable y la naturaleza de la infracción;

b)un requerimiento dirigido a la persona física o jurídica responsable para que ponga fin a su conducta infractora y se abstenga de repetirla;

c)la restitución de los beneficios obtenidos o de las pérdidas evitadas debido a la infracción, en caso de que puedan determinarse;

d)una suspensión temporal de la autorización de un proveedor de servicios de información financiera;

e)una multa administrativa máxima de al menos el doble de los beneficios obtenidos o de las pérdidas evitadas como resultado de la infracción, en caso de que puedan determinarse, incluso cuando dicha multa sea superior a los importes máximos señalados en la letra f) del presente apartado, en el caso de las personas físicas, o en el apartado 4, en el caso de las personas jurídicas;

f)si se trata de una persona física, multas administrativas máximas de hasta 25 000 EUR por infracción y hasta un total de 250 000 EUR anuales o, en los Estados miembros cuya moneda oficial no sea el euro, el valor correspondiente en la moneda oficial de dicho Estado miembro a... [OP: insértese la fecha de entrada en vigor del presente Reglamento].

g)la prohibición temporal de que cualquier miembro del órgano de dirección del proveedor de servicios de información financiera, o cualquier otra persona física considerada responsable de la infracción, ejerza funciones de dirección en proveedores de servicios de información financiera;

h)en caso de infracción reiterada de los artículos a que se refiere el apartado 1, la prohibición de ejercer funciones de dirección en un proveedor de servicios de información financiera durante al menos 10 años a cualquier miembro del órgano de dirección de un proveedor de servicios de información financiera, o a cualquier otra persona física que se considere responsable de la infracción.

4.Los Estados miembros, de conformidad con el Derecho nacional, velarán por que las autoridades competentes estén facultadas para imponer, en el caso de las infracciones a que se refiere en apartado 1 cometidas por personas jurídicas, multas administrativas máximas de al menos:

a)hasta 50 000 EUR por infracción y hasta un total de 500 000 EUR anuales o, en los Estados miembros cuya moneda oficial no sea el euro, el valor correspondiente en la moneda oficial de dicho Estado miembro a... [OP: insértese la fecha de entrada en vigor del presente Reglamento];

b)el 2 % del volumen de negocios total anual de la persona jurídica de acuerdo con los últimos estados financieros disponibles aprobados por el órgano de dirección;

Cuando la persona jurídica a que se refiere el párrafo primero sea una empresa matriz o una filial de una empresa matriz que deba elaborar estados financieros consolidados de conformidad con el artículo 22 de la Directiva 2013/34/UE del Parlamento Europeo y del Consejo 45 , el volumen de negocios total anual pertinente será el volumen de negocios neto o los ingresos que se determinarán de conformidad con las normas de contabilidad pertinentes, de acuerdo con los estados financieros consolidados de la empresa matriz última disponibles para la fecha de cierre del balance más reciente, de los que sean responsables los miembros del órgano de administración, dirección y supervisión de la empresa última.

5.Los Estados miembros podrán facultar a las autoridades competentes para imponer otros tipos de sanciones y otras medidas administrativas, además de las mencionadas en los apartados 3 y 4, y podrán prever multas pecuniarias administrativas más elevadas que las establecidas en dichos apartados.

Los Estados miembros notificarán a la Comisión el nivel de dichas sanciones más elevadas, así como cualquier modificación posterior de las mismas.

Artículo 21
Multas coercitivas

1.Las autoridades competentes estarán facultadas para imponer multas coercitivas a personas físicas o jurídicas por el incumplimiento continuado de cualquier decisión, orden, medida provisional, solicitud, obligación u otra medida administrativa adoptada de conformidad con el presente Reglamento.

La multa coercitiva a que se refiere el párrafo primero será efectiva y proporcionada y consistirá en un importe diario que se abonará hasta que se restablezca el cumplimiento. Se impondrán por un período no superior a seis meses a partir de la fecha indicada en la decisión por la que se impongan las multas coercitivas.

Las autoridades competentes podrán imponer las siguientes multas coercitivas, que podrán ajustarse en función de la gravedad de la infracción y de las necesidades del sector:

a)el 3 % del volumen de negocios diario medio en el caso de una persona jurídica;

b)30 000 EUR si se trata de una persona física.

2.El volumen de negocios medio diario a que se refiere el apartado 1, párrafo tercero, letra a), será el volumen de negocios anual total dividido por 365.

3.Los Estados miembros podrán establecer multas coercitivas más elevadas que las establecidas en el apartado 1, párrafo tercero.

Artículo 22
Circunstancias que deben tenerse en cuenta a la hora de determinar las sanciones y otras medidas administrativas

1.Al determinar el tipo y el nivel de las sanciones y otras medidas administrativas, las autoridades competentes tendrán en cuenta todas las circunstancias pertinentes para garantizar que dichas sanciones o medidas sean eficaces y proporcionadas. Dichas circunstancias incluirán, en su caso:

a)la gravedad y la duración del incumplimiento;

b)el grado de responsabilidad de la persona jurídica o física responsable de la infracción;

c)la solidez financiera de la persona jurídica o física responsable de la infracción, reflejada, entre otras, en el volumen de negocios total de la persona jurídica responsable o en los ingresos anuales de la persona física responsable de la infracción;

d)el nivel de beneficios obtenidos o las pérdidas evitadas por la persona jurídica o física responsable de la infracción, si dichos beneficios o pérdidas pueden determinarse;

e)las pérdidas causadas a terceros por la infracción, si dichas pérdidas pueden determinarse;

f)la desventaja para la persona jurídica o física responsable de la infracción resultante de la duplicación de procedimientos y sanciones penales y administrativos por la misma conducta;

g)el impacto de la infracción en los intereses de los clientes;

h)toda consecuencia negativa sistémica real o potencial de la infracción;

i)la complicidad o la participación organizada de más de una persona jurídica o física en la infracción;

j)cualesquiera incumplimientos anteriores de la persona jurídica o física responsable del incumplimiento;

k)el nivel de cooperación de la persona jurídica o física responsable de la infracción con la autoridad competente;

l)cualquier acción o medida reparadora emprendida por la persona jurídica o física responsable de la infracción para evitar que se repita.

2.Las autoridades competentes que recurran a convenios transaccionales o procedimientos de ejecución acelerados con arreglo al artículo 19 adaptarán al caso de que se trate las sanciones y otras medidas administrativas pertinentes previstas en el artículo 20 para garantizar su proporcionalidad, en particular teniendo en cuenta las circunstancias enumeradas en el apartado 1.

Artículo 23
Secreto profesional

1.Todas las personas que trabajen o hayan trabajado para las autoridades competentes, así como los expertos que actúen por cuenta de las autoridades competentes, estén sometidos a la obligación de secreto profesional.

2.La información intercambiada de conformidad con el artículo 26 estará sujeta a la obligación de secreto profesional tanto por parte de la autoridad que la comparte como de la autoridad receptora para garantizar la protección de los derechos individuales y empresariales.

Artículo 24
Derecho de recurso

1.Las decisiones adoptadas por las autoridades competentes en virtud del presente Reglamento podrán ser impugnadas ante los tribunales.

2.Lo dispuesto en el apartado 1 será también de aplicación en caso de omisión.

Artículo 25
Publicación de las decisiones de las autoridades competentes

1.Las autoridades competentes publicarán en su sitio web todas las decisiones por las que se imponga una sanción o medida administrativa a personas jurídicas o físicas por incumplimiento del presente Reglamento y, en su caso, de todos los convenios transaccionales. La publicación incluirá una breve descripción de la infracción, la sanción u otra medida administrativa impuesta o, en su caso, una declaración sobre el convenio transaccional. No se publicará la identidad de la persona física objeto de la decisión por la que se impone una sanción o medida administrativa.

Las autoridades competentes publicarán la decisión y la declaración a que se refiere el apartado 1 inmediatamente después de que la persona jurídica o física objeto de la decisión haya sido notificada de dicha decisión o se haya firmado el convenio transaccional.

2.No obstante lo dispuesto en el apartado 1, cuando la autoridad nacional competente considere necesaria la publicación de la identidad u otros datos personales de la persona física para proteger la estabilidad de los mercados financieros o para garantizar la aplicación efectiva del presente Reglamento, también en el caso de las declaraciones públicas a que se refiere el artículo 20, apartado 3, letra a), o de las prohibiciones temporales a que se refiere el artículo 20, apartado 3, letra g), la autoridad nacional competente podrá publicar también la identidad de las personas o los datos personales, siempre que justifique tal decisión y que la publicación se limite a los datos personales que sean estrictamente necesarios para proteger la estabilidad de los mercados financieros o garantizar la aplicación efectiva del presente Reglamento.

3.Cuando la decisión por la que se imponga una sanción u otra medida administrativa sea susceptible de recurso ante la autoridad judicial u otra autoridad pertinente, las autoridades competentes publicarán también en su sitio web oficial, sin demora, información sobre el recurso y cualquier información posterior sobre el resultado de dicho recurso en la medida en que se refiera a personas jurídicas. Cuando la decisión recurrida se refiera a personas físicas y no se aplique la excepción prevista en el apartado 2, las autoridades competentes publicarán la información sobre el recurso únicamente en una versión anonimizada.

4.Las autoridades competentes velarán por que toda publicación realizada de conformidad con el presente artículo permanezca en su sitio web oficial durante un período mínimo de cinco años. Los datos personales contenidos en la publicación solo se conservarán en el sitio web oficial de la autoridad competente si una revisión anual demuestra que siguen siendo necesarios para proteger la estabilidad de los mercados financieros o garantizar la aplicación efectiva del presente Reglamento y, en cualquier caso, durante un período no superior a cinco años.

Artículo 26
Cooperación e intercambio de información entre autoridades competentes

1.Las autoridades competentes cooperarán entre sí y con otras autoridades competentes pertinentes designadas con arreglo al Derecho de la Unión o nacional aplicable a las entidades financieras a efectos del presente Reglamento en el desempeño de sus funciones.

2.Se permitirá el intercambio de información entre las autoridades competentes y las autoridades competentes de otros Estados miembros responsables de la autorización y supervisión de los proveedores de servicios de información financiera a efectos del desempeño de sus funciones en virtud del presente Reglamento.

3.Las autoridades competentes que intercambien información con otras autoridades competentes con arreglo al presente Reglamento podrán indicar en el momento de la comunicación si dicha información sólo puede divulgarse si cuenta con su consentimiento expreso, en cuyo caso, la información podrá intercambiarse exclusivamente para los fines que dichas autoridades hayan autorizado.

4.La autoridad competente no transmitirá la información compartida por otras autoridades competentes a otros organismos o personas físicas o jurídicas sin el consentimiento expreso de las autoridades competentes que la hayan divulgado y únicamente para los fines para los que dichas autoridades hayan dado su consentimiento, salvo en circunstancias debidamente justificadas. En este último caso, el punto de contacto informará inmediatamente de ello al punto de contacto que envió la información.

5.Cuando las obligaciones en virtud del presente Reglamento se refieran al tratamiento de datos personales, las autoridades competentes cooperarán con las autoridades de control establecidas en virtud del Reglamento (UE) 2016/679.

Artículo 27
Solución de diferencias entre las autoridades competentes

1.Si una autoridad competente de un Estado miembro considera que, en un caso concreto, la cooperación transfronteriza con las autoridades competentes de otro Estado miembro respecto de las cuestiones a que se refieren los artículos 28 o 29 del presente Reglamento no ha cumplido las condiciones de dichas disposiciones, podrá poner el asunto en conocimiento de la ABE y solicitar su ayuda de conformidad con el artículo 19 del Reglamento (UE) n.° 1093/2010.

2.Cuando se haya solicitado asistencia a la ABE de conformidad con el apartado 1, adoptará sin demora injustificada una decisión con arreglo al artículo 19, apartado 3, del Reglamento (UE) n.º 1093/2010. La ABE también podrá, por propia iniciativa, ayudar a las autoridades competentes a alcanzar un acuerdo de conformidad con el artículo 19, apartado 1, párrafo segundo, de dicho Reglamento. En ambos casos, las autoridades competentes interesadas aplazarán sus decisiones hasta que se resuelva el desacuerdo con arreglo al artículo 19 del Reglamento (UE) n.º 1093/2010.

TÍTULO VII
Acceso transfronterizo a los datos

Artículo 28
Acceso transfronterizo a los datos por proveedores de servicios de información financiera

1.Se permitirá a los proveedores de servicios de información financiera y a las entidades financieras acceder a los datos enumerados en el artículo 2, apartado 1 de los clientes de la Unión que obren en poder de titulares de datos establecidos en la Unión, en virtud de la libre prestación de servicios o la libertad de establecimiento.

2.Un proveedor de servicios de información financiera que desee tener acceso a los datos enumerados en el artículo 2, apartado 1, del presente Reglamento por primera vez en un Estado miembro distinto de su Estado miembro de origen en virtud del derecho de establecimiento o libre prestación de servicios comunicará la información siguiente a las autoridades competentes de su Estado miembro de origen:

a)el nombre, la dirección y, en su caso, el número de autorización del proveedor de servicios de información financiera;

b)el Estado o Estados miembros en los que se proponga tener acceso a los datos enumerados en el artículo 2, apartado 1;

c)el tipo de datos a los que desea acceder;

d)los sistemas de intercambio de datos financieros a los está afiliado.

Si el proveedor de servicios de información financiera se propone externalizar a otras entidades del Estado miembro de acogida funciones operativas relacionadas con el acceso a los datos, deberá informar de ello a las autoridades competentes de su Estado miembro de origen.

3.Las autoridades competentes del Estado miembro de origen comunicarán toda la información a que se refiere el apartado 1 en el plazo de un mes a partir de la fecha en que la hayan recibido a las autoridades competentes del Estado miembro de acogida.

4.El proveedor de servicios de información financiera comunicará sin demora indebida a las autoridades competentes de su Estado miembro de origen toda modificación pertinente en relación con la información comunicada de conformidad con el apartado 1, incluidas las entidades adicionales a las que se externalicen actividades en los Estados miembros de acogida en los que opera. Se aplicará el procedimiento previsto en los apartados 2 y 3.

Artículo 29
Sobre la motivación y la comunicación

Cualquier medida adoptada por las autoridades competentes en virtud de los artículos 18 o 28 que implique sanciones o restricciones del ejercicio de la libre prestación de servicios o la libertad de establecimiento deberá estar debidamente motivada y ser comunicada al proveedor de servicios de información financiera afectado.

TÍTULO VIII

Disposiciones finales

Artículo 30
Ejercicio de la delegación

1.Se otorgan a la Comisión las facultades para adoptar actos delegados en las condiciones establecidas en el presente artículo.

2.Las facultades para adoptar actos delegados mencionados en el artículo 11 se otorgarán a la Comisión por un período de XX meses a partir de... [insértese la fecha de entrada en vigor del presente Reglamento]. La Comisión elaborará un informe sobre la delegación de poderes a más tardar nueve meses antes de que finalice el período de XX meses. La delegación de poderes se prorrogará tácitamente por períodos de idéntica duración, excepto si el Parlamento Europeo o el Consejo se oponen a dicha prórroga a más tardar tres meses antes del final de cada período.

3.La delegación de poderes mencionada en el artículo 11 podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La Decisión de retirada pondrá término a la delegación de las facultades que en ella se especifiquen. La Decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en la misma. No afectará a la validez de los actos delegados que ya estén en vigor.

4.Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.

5.Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.

6.Los actos delegados adoptados en virtud del artículo 11 entrarán en vigor únicamente si, en un plazo de tres meses a partir de su notificación al Parlamento Europeo y al Consejo, ni el Parlamento Europeo ni el Consejo formulan objeciones o si, antes del vencimiento de dicho plazo, tanto el uno como el otro informan a la Comisión de que no las formularán. El plazo se prorrogará tres meses a iniciativa del Parlamento Europeo o del Consejo.

Artículo 31
Evaluación del presente Reglamento e información sobre el acceso a los datos financieros

1.A más tardar el [OP: insértese la fecha correspondiente a 4 años después de la fecha de entrada en vigor del presente Reglamento], la Comisión llevará a cabo una evaluación del presente Reglamento y presentará un informe sobre sus principales conclusiones al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo. En la evaluación se analizarán, en particular:

a)el acceso a otras categorías o conjuntos de datos;

b)la exclusión del ámbito de aplicación de determinadas categorías de datos y entidades;

c)los cambios en las prácticas contractuales de los titulares y usuarios de datos y el funcionamiento de los sistemas de intercambio de datos financieros;

d)la inclusión de otros tipos de entidades a las que se haya concedido el derecho de acceso a los datos;

e)el impacto de la compensación en la capacidad de los usuarios de datos para participar en sistemas de intercambio de datos financieros y acceder a los datos de los titulares de datos.

2.A más tardar el [OP: insértese la fecha correspondiente a cuatro años después de la fecha de entrada en vigor del presente Reglamento], la Comisión presentará un informe al Parlamento Europeo y al Consejo en el que se evalúen las condiciones de acceso a los datos financieros aplicables a los proveedores de servicios de información sobre cuentas en virtud del presente Reglamento y de la Directiva (UE) 2015/2366. El informe podrá ir acompañado, cuando proceda, de una propuesta legislativa.

Artículo 32
Modificación del Reglamento (UE) n.º 1093/2010

En el artículo 1, apartado 2, del Reglamento (UE) n.º 1093/2010, el párrafo primero se sustituye por el texto siguiente:

«La Autoridad actuará con arreglo a las facultades otorgadas por el presente Reglamento y dentro del ámbito de aplicación de las Directivas 2002/87/CE, 2008/48/CE* y 2009/110/CE, el Reglamento (UE) n.º 575/2013**, y las Directivas 2013/36/UE***, 2014/49/UE****, 2014/92/UE***** y (UE) 2015/2366****** y los Reglamentos (UE) 2023/1114(*******) y (UE) 2024/.../UE(********), todos ellos del Parlamento Europeo y del Consejo, y en la medida en que dichos actos se apliquen a las entidades de crédito y las entidades financieras y a las autoridades competentes que las supervisan, de las partes correspondientes de la Directiva 2002/65/CE, incluidas todas las directivas, los reglamentos y las decisiones basados en dichos actos, así como de cualquier otro acto jurídicamente vinculante de la Unión que confiera funciones a la Autoridad. La Autoridad también actuará con arreglo al Reglamento (UE) n.º 1024/2013********* del Consejo.

*    Directiva 2008/48/CE del Parlamento Europeo y del Consejo, de 23 de abril de 2008, relativa a los contratos de crédito al consumo y por la que se deroga la Directiva 87/102/CEE del Consejo (DO L 133 de 22.5.2008, p. 66).

**    Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los requisitos prudenciales de las entidades de crédito y las empresas de inversión, y por el que se modifica el Reglamento (UE) n.º 648/2012 (DO L 176 de 27.6.2013, p. 1).

***    Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO L 176 de 27.6.2013, p. 338).

****    Directiva 2014/49/UE del Parlamento Europeo y del Consejo, de 16 de abril de 2014, relativa a los sistemas de garantía de depósitos (DO L 173 de 12.6.2014, p. 149).

*****    Directiva 2014/92/UE del Parlamento Europeo y del Consejo, de 23 de julio de 2014, sobre la comparabilidad de las comisiones conexas a las cuentas de pago, el traslado de cuentas de pago y el acceso a cuentas de pago básicas (DO L 257 de 28.8.2014, p. 214).

******    Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.º 1093/2010 y se deroga la Directiva 2007/64/CE (DO L 337 de 23.12.2015, p. 35).

*******    Reglamento (UE) 2023/1114 del Parlamento Europeo y del Consejo, de 31 de mayo de 2023, relativo a los mercados de criptoactivos y por el que se modifican los Reglamentos (UE) n.º 1093/2010 y (UE) n.º 1095/2010 y las Directivas 2013/36/UE y (UE) 2019/1937 (DO L 150 de 9.6.2023, p. 40).»;

********    Reglamento (UE) 2024/... del Parlamento Europeo y del Consejo, de..., relativo a un marco para el acceso a los datos financieros y por el que se modifican los Reglamentos (UE) n.º 1093/2010, (UE) 1095/2010 y (UE) 2022/2554 y la Directiva (UE) 2019/1937 (DO L... de..., p.).

*********    Reglamento (UE) n.º 1024/2013 del Consejo, de 15 de octubre de 2013, que encomienda al Banco Central Europeo tareas específicas respecto de políticas relacionadas con la supervisión prudencial de las entidades de crédito (DO L 287 de 29.10.2013, p. 63).

Artículo 33
Modificación del Reglamento (UE) n.º 1094/2010

En el artículo 1, apartado 2, del Reglamento (UE) n.º 1094/2010, el párrafo primero se sustituye por el texto siguiente:

*    Reglamento (UE) 2024/... del Parlamento Europeo y del Consejo, de..., relativo a un marco para el acceso a los datos financieros y por el que se modifican los Reglamentos (UE) n.º 1093/2010, (EU) n.º 1094/2010, (UE) 1095/2010 y (UE) 2022/2554 y la Directiva (UE) 2019/1937 (DO L... de..., p.).

** Directiva (UE) 2016/97 del Parlamento Europeo y del Consejo 
de 20 de enero de 2016, sobre la distribución de seguros (DO L 26 de 2.2.2016, p. 19).

*** Directiva (UE) 2016/2341 del Parlamento Europeo y del Consejo 
de 14 de diciembre de 2016, relativa a las actividades y la supervisión 
de los fondos de pensiones de empleo (FPE) (DO L 354 de 23.12.2016, p. 37).

Artículo 34
Modificación del Reglamento (UE) n.º 1095/2010

En el artículo 1, apartado 2, del Reglamento (UE) n.º 1095/2010, el párrafo primero se sustituye por el texto siguiente:

«La Autoridad actuará con arreglo a las facultades conferidas por el presente Reglamento y dentro del ámbito de aplicación de las Directivas 97/9/CE, 98/26/CE, 2001/34/CE, 2002/47/CE, 2004/109/CE, 2009/65/CE, la Directiva 2011/61/UE del Parlamento Europeo y del Consejo*, el Reglamento (CE) n.º 1060/2009 y la Directiva 2014/65/UE del Parlamento Europeo y del Consejo**, el Reglamento (UE) 2017/1129 del Parlamento Europeo y del Consejo***, el Reglamento (UE) 2023/1114 del Parlamento Europeo y del Consejo****, el Reglamento (UE) 2024/... del Parlamento Europeo y del Consejo***** y en la medida en que dichos actos se apliquen a las empresas que presten servicios de inversión o a los organismos de inversión colectiva que comercialicen sus participaciones o acciones, los emisores u oferentes de criptoactivos, las personas que soliciten la admisión a negociación o los proveedores de servicios de criptoactivos, los proveedores de servicios de información financiera y las autoridades competentes que los supervisen, dentro de las partes pertinentes de las Directivas 2002/87/CE y 2002/65/CE, incluidas todas las directivas, reglamentos y decisiones basados en dichos actos, así como de cualquier otro acto jurídicamente vinculante de la Unión que confiera funciones a la Autoridad.

___________

*    Directiva 2011/61/UE del Parlamento Europeo y del Consejo, de 8 de junio de 2011, relativa a los gestores de fondos de inversión alternativos y por la que se modifican las Directivas 2003/41/CE y 2009/65/CE y los Reglamentos (CE) n.º 1060/2009 y (UE) n.º 1095/2010 (DO L 174 de 1.7.2011, p. 1).

**    Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativo a los mercados de instrumentos financieros y por la que se modifican la Directiva 2002/92/CE y la Directiva 2011/61/UE (DO L 173 de 12.6.2014, p. 349).

***    Reglamento (UE) 2017/1129 del Parlamento Europeo y del Consejo, de 14 de junio de 2017, sobre el folleto que debe publicarse en caso de oferta pública o admisión a cotización de valores en un mercado regulado y por el que se deroga la Directiva 2003/71/CE, DO L 168 de 30.6.2017, p. 12.

****    Reglamento (UE) 2023/1114 del Parlamento Europeo y del Consejo, de 31 de mayo de 2023, relativo a los mercados de criptoactivos y por el que se modifican los Reglamentos (UE) n.º 1093/2010 y (UE) n.º 1095/2010 y las Directivas 2013/36/UE y (UE) 2019/1937 (DO L 150 de 9.6.2023, p. 40).»;

***** Reglamento (UE) 2024/... del Parlamento Europeo y del Consejo, de..., relativo a un marco para el acceso a los datos financieros y por el que se modifican los Reglamentos (UE) n.º 1093/2010, (UE), (EU) 1094/2010, 1095/2010 y (UE) 2022/2554 y la Directiva (UE) 2019/1937 (DO L... de..., p.).

Artículo 35
Modificación del Reglamento (UE) n.º 2022/2554

El artículo 2, apartado 1, del Reglamento (UE) 2022/2554 se modifica como sigue:

1)En la letra u), la marca de puntuación «.» se sustituye por «;»

2)Se añade el inciso v) siguiente:

‘«proveedores de servicios de información financiera»’

Artículo 36
Entrada en vigor y aplicación

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Será aplicable a partir del… [OP, insertar fecha = veinticuatro meses después de la fecha de entrada en vigor del presente Reglamento]. No obstante, los artículos 9 a 13 serán de aplicación a partir del [OP: insértese la fecha correspondiente a dieciocho meses después de la fecha de entrada en vigor].

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el

(1)     Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, «Una estrategia europea de datos», COM(2020) 66 final, de 19 de febrero de 2020.

(2)

   Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones sobre una Estrategia de Finanzas Digitales para la UE, COM(2020) 591 final, del 29 de septiembre de 2020.

(3)    Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, «Unión de los mercados de capitales: cumpliendo los compromisos un año después del Plan de Acción», COM(2021) 720 final, de 25 de noviembre de 2021

(4)    Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre normas armonizadas para un acceso justo a los datos y su utilización (Ley de Datos), COM(2022) 68 final.

(5)    La estrategia de inversión minorista adoptada incluye la propuesta de Directiva del Parlamento Europeo y del Consejo por la que se modifican las Directivas 2009/65/CE, 2009/138/CE, 2011/61/UE, 2014/65/UE y (UE) 2016/97 en lo que respecta a las normas de protección de los inversores minoristas de la Unión y una propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) n.º 1286/2014 en lo que respecta a la modernización del documento de datos fundamentales.

(6)    DO C de , p. .

(7)    Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.º 1093/2010 y se deroga la Directiva 2007/64/CE (DO L 337 de 23.12.2015, p. 35).

(8)    https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:52020DC0066

(9)    Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), DO L 119 de 4.5.2016, p. 1.

(10)    Directiva 2009/138/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, sobre el seguro de vida, el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II) (versión refundida) (DO L 335 de 17.12.2009, p. 1).

(11)    Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.º 1093/2010 y se deroga la Directiva 2007/64/CE (DO L 337 de 23.12.2015, p. 35).

(12)    Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, Estrategia para financiar la transición a una economía sostenible, COM(2021) 390 final.

(13)     Informe final de la ABE sobre las Directrices sobre originación y seguimiento de los préstamos. pdf (europa.eu) , 29.5.2020.

(14)    Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios, DO L 151 de 7.6.2019, p. 70.

(15)    COM(2021) 281 final - 2021/0136 (COD)

(16)    Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos) (DO L 152 de 3.6.2022, p. 1).

(17)    DO L 123 de 12.5.2016, p. 1.

(18)    Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).

(19)    Reglamento (UE) … (DO …)

(20)    Directiva (UE) ... (DO...).

(21)    Informe de la Comisión sobre la revisión de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, sobre servicios de pago en el mercado interior

(22)    Reglamento (UE) n.º 600/2014 del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativo a los mercados de instrumentos financieros y por el que se modifica el Reglamento (UE) n.º 648/2012 (DO L 173 de 12.6.2014, p. 84).

(23)    Directiva 2014/17/UE del Parlamento Europeo y del Consejo, de 4 de febrero de 2014, sobre los contratos de crédito celebrados con los consumidores para bienes inmuebles de uso residencial y por la que se modifican las Directivas 2008/48/CE y 2013/36/UE y el Reglamento (UE) n.º 1093/2010 (DO L 060 de 28.2.2014, p. 34).

(24)    Reglamento (UE) 2017/2402 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2017, por el que se establece un marco general para la titulización y se crea un marco específico para la titulización simple, transparente y normalizada, y por el que se modifican las Directivas 2009/65/CE, 2009/138/CE y 2011/61/UE y los Reglamentos (CE) n.º 1060/2009 y (UE) n.º 648/2012 (DO L 347 de 28.12.2017, p. 35).

(25)    Directiva 2009/103/CE del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, relativa al seguro de la responsabilidad civil que resulta de la circulación de vehículos automóviles, así como al control de la obligación de asegurar esta responsabilidad (DO L 263 de 7.10.2009, p. 11).

(26)    Reglamento (UE) 2019/1238 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a un producto paneuropeo de pensiones individuales (PEPP) (DO L 198 de 25.7.2019, p. 1).

(27)    Directiva (UE) 2018/843 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018, por la que se modifica la Directiva (UE) 2015/849 relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifican las Directivas 2009/138/CE y 2013/36/UE (DO L 156 de 19.6.2018, p. 43).

(28)    Reglamento (UE) n.º 1093/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Bancaria Europea), se modifica la Decisión n.º 716/2009/CE y se deroga la Decisión 2009/78/CE de la Comisión (DO L 331 de 15.12.2010, p. 12).

(29)    Reglamento (UE) n.º 1094/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Europea de Seguros y Pensiones de Jubilación), se modifica la Decisión n.º 716/2009/CE y se deroga la Decisión 2009/79/CE de la Comisión (DO L 331 de 15.12.2010, p. 48).

(30)    Reglamento (UE) n.º 1095/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Europea de Valores y Mercados), se modifica la Decisión n.º 716/2009/CE y se deroga la Decisión 2009/77/CE de la Comisión (DO L 331 de 15.12.2010, p. 84).

(31)    Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(32)    Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a los mercados de instrumentos financieros y por la que se modifican la Directiva 2002/92/CE y la Directiva 2011/61/UE (refundición) (DO L 173 de 12.6.2014, p. 349).

(33)    Directiva (UE) 2016/2341 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2016, relativa a las actividades y la supervisión de los fondos de pensiones de empleo (FPE) (DO L 354 de 23.12.2016, p. 37).

(34)    Directiva (UE) 2016/97 del Parlamento Europeo y del Consejo, de 20 de enero de 2016, sobre la distribución de seguros (versión refundida) (DO L 26 de 2.2.2016, p. 19).

(35)    Directiva 2009/110/CE del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, sobre el acceso a la actividad de las entidades de dinero electrónico y su ejercicio, así como sobre la supervisión prudencial de dichas entidades, por la que se modifican las Directivas 2005/60/CE y 2006/48/CE y se deroga la Directiva 2000/46/CE (DO L 267 de 10.10.2009, p. 7)

(36)    Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los requisitos prudenciales de las entidades de crédito, y por el que se modifica el Reglamento (UE) n.º 648/2012 (DO L 176 de 27.6.2013, p. 1).

(37)    Reglamento (UE) 2023/1114 del Parlamento Europeo y del Consejo, de 31 de mayo de 2023, relativo a los mercados de criptoactivos y por el que se modifican los Reglamentos (UE) n.º 1093/2010 y (UE) n.º 1095/2010 y las Directivas 2013/36/UE y (UE) 2019/1937 (DO L 150 de 9.6.2023, p. 40).

(38)    Directiva 2011/61/UE del Parlamento Europeo y del Consejo, de 8 de junio de 2011, relativa a los gestores de fondos de inversión alternativos y por la que se modifican las Directivas 2003/41/CE y 2009/65/CE y los Reglamentos (CE) n.º 1060/2009 y (UE) n.º 1095/2010 (DO L 174 de 1.7.2011, p. 1).

(39)    Directiva 2009/65/CE del Parlamento Europeo y del Consejo, de 13 de julio de 2009, por la que se coordinan las disposiciones legales, reglamentarias y administrativas sobre determinados organismos de inversión colectiva en valores mobiliarios (OICVM) (versión refundida) (DO L 302 de 17.11.2009, p. 32).

(40)    Directiva (UE) 2016/97 del Parlamento Europeo y del Consejo, de 20 de enero de 2016, sobre la distribución de seguros (versión refundida) (DO L 26 de 2.2.2016, p. 19).

(41)    Reglamento (CE) n.º 1060/2009 del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, sobre las agencias de calificación crediticia (DO L 302 de 17.11.2009, p. 1).

(42)    Recomendación de la Comisión de 6 de mayo de 2003 sobre la definición de microempresas, pequeñas y medianas empresas [C(2003) 1422] (DO L 124 de 20.5.2003, p. 36).

(43)    Directiva 2013/11/UE del Parlamento Europeo y del Consejo, de 21 de mayo de 2013, relativa a la resolución alternativa de litigios en materia de consumo y por la que se modifica el Reglamento (CE) n.º 2006/2004 y la Directiva 2009/22/CE (Directiva sobre resolución alternativa de litigios en materia de consumo) (DO L 165 de 18.6.2013, p. 63).

(44)    Reglamento Delegado (UE) 2016/1675 de la Comisión, de 14 de julio de 2016, por el que se completa la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo identificando los terceros países de alto riesgo con deficiencias estratégicas.

(45)    Directiva 2013/34/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los estados financieros anuales, los estados financieros consolidados y otros informes afines de ciertos tipos de empresas, por la que se modifica la Directiva 2006/43/CE del Parlamento Europeo y del Consejo y se derogan las Directivas 78/660/CEE y 83/349/CEE del Consejo (DO L 182 de 29.6.2013, p. 19).