Introducción y fundamento jurídico

El 28 de junio de 2023 la Comisión Europea adoptó una propuesta de reglamento del Parlamento Europeo y del Consejo relativo a un marco para el acceso a los datos financieros y por el que se modifican los Reglamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010, (UE) n.o 1095/2010 y (UE) 2022/2554 (1) (en lo sucesivo, el «reglamento propuesto»). El Banco Central Europeo (BCE) considera que el reglamento propuesto afecta a sus competencias y, por tanto, ha decidido ejercer su derecho, conforme a lo dispuesto en el artículo 127, apartado 4, segunda frase, y en el artículo 282, apartado 5, del Tratado de Funcionamiento de la Unión Europea, de emitir un dictamen por iniciativa propia acerca del reglamento propuesto.

La competencia consultiva del BCE se basa en el artículo 127, apartado 4, y en el artículo 282, apartado 5, del Tratado de Funcionamiento de la Unión Europea, ya que el reglamento propuesto contiene disposiciones que afectan a las funciones del BCE en cuanto a la supervisión prudencial de las entidades de crédito, conforme al artículo 127, apartado 6, del Tratado. De conformidad con la primera frase del artículo 17.5 del Reglamento interno del Banco Central Europeo, el presente dictamen ha sido adoptado por el Consejo de Gobierno.

1.   Observaciones generales

1.1.

El reglamento propuesto es parte importante de la estrategia europea de datos (2). El establecimiento de un marco jurídico sólido para gestionar el intercambio de datos de los clientes del sector financiero más allá de las cuentas de pago tiene por objeto permitir a los clientes, los consumidores individuales y las empresas acceder a productos y servicios personalizados basados en datos que satisfagan mejor sus necesidades específicas. El BCE celebra el objetivo del reglamento propuesto de introducir un marco para el acceso a los datos de los clientes y su utilización. Así se fomentaría la innovación, aumentaría la competitividad de los servicios financieros y se ofrecería a los clientes un mayor control sobre sus propios datos financieros. La propuesta también podría contribuir al desarrollo de la unión de los mercados de capitales, al animar a los proveedores a ofrecer una gama más amplia de servicios mejor adaptados a las necesidades de los clientes y a reducir las comisiones a medida que aumenta la competitividad del mercado.

1.2.

El reglamento propuesto adopta un enfoque centrado en los clientes, proporcionando herramientas que permiten el control de sus datos financieros. Así, el reglamento propuesto otorga a los clientes el derecho a solicitar que los titulares de datos (3) compartan los datos de los clientes con los usuarios de datos (4) para los fines y con las condiciones expresamente permitidas por los clientes (5), garantizando así que el intercambio de datos siempre siga a la concesión por el cliente del permiso para dicho intercambio. Con este fin, el reglamento propuesto impone a los titulares de datos la obligación de facilitar el acceso (6) y proporcionar a los clientes paneles de control de permisos de acceso a los datos financieros (7) que les permitan supervisar y gestionar los permisos que hayan concedido. Este conjunto de normas, concebido para aumentar la transparencia y la confianza de los clientes en el proceso de intercambio de datos, se complementa con salvaguardias adicionales, entre las que se incluye garantizar un tratamiento responsable de los datos, limitando el acceso a los datos de los clientes a las entidades financieras ya autorizadas y a los proveedores de servicios de información financiera que se autoricen (8), que constituyen una nueva categoría de proveedores de servicios (9). Además, la Autoridad Bancaria Europea y la Autoridad Europea de Seguros y Pensiones de Jubilación, en cooperación con el Consejo Europeo de Protección de Datos, están obligadas a elaborar directrices específicas que establezcan un perímetro de uso de datos que proteja al consumidor frente a los riesgos de trato injusto o exclusión (10). Asimismo, el reglamento propuesto exige la normalización de los datos de los clientes y establece requisitos para crear y regular sistemas de intercambio de datos financieros para racionalizar el intercambio de datos y garantizar la igualdad de condiciones mediante el establecimiento de un marco contractual para el acceso, la transparencia, la indemnización, la responsabilidad y la resolución de controversias. El reglamento propuesto también exige a las autoridades competentes que evalúen el cumplimiento de estos requisitos de gobernanza (11).

1.3.

El BCE observa que los datos de clientes que los titulares de datos están obligados a facilitar a los usuarios de datos a petición de un cliente pueden incluir datos sobre contratos de crédito hipotecario, préstamos y cuentas, excepto las cuentas de pago, así como datos que formen parte de una evaluación de la solvencia de una empresa recopilados en el marco de un proceso de solicitud de préstamo o de una solicitud de calificación crediticia (12). Los datos recopilados conforme al Reglamento (UE) 2016/867 del Banco Central Europeo (BCE/2016/13) (13) (en lo sucesivo, el «reglamento AnaCredit») que se han compartido con entidades de crédito a través del mecanismo de información de retorno sobre la base del artículo 11 del reglamento AnaCredit no deben compartirse con los usuarios de los datos sobre la base de los artículos 4 y 5 del reglamento propuesto. Esta puesta en común contravendría el artículo 11, apartado 1, del reglamento AnaCredit, que limita el uso de estos datos exclusivamente a la gestión del riesgo de crédito por las entidades de crédito y a la mejora de la calidad de la información crediticia, prohibiendo expresamente su divulgación a terceros, salvo en determinadas circunstancias restringidas. Por tanto, el BCE celebraría que el reglamento propuesto aclarase expresamente que los datos compartidos con las entidades de crédito a través del mecanismo de información de retorno sobre la base del artículo 11, apartado 1, del reglamento AnaCredit, no pueden ser compartidos con clientes o usuarios de datos con arreglo a los artículos 4 y 5 del reglamento propuesto.

1.4.

El reglamento propuesto exige a los Estados miembros que designen a las autoridades competentes responsables de desempeñar las funciones y cometidos previstos en él (14). En relación con las entidades financieras, el reglamento propuesto identifica como autoridades competentes las especificadas en el artículo 46 del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (15) (en lo sucesivo, el «reglamento DORA») (16). Las autoridades competentes deben velar por el cumplimiento del reglamento propuesto de conformidad con las facultades otorgadas por este y por los actos jurídicos respectivos enumerados en el artículo 46 del reglamento DORA (17), que establece que el BCE debe garantizar el cumplimiento de dicho reglamento por las entidades de crédito clasificadas como significativas de conformidad con el artículo 6, apartado 4, del Reglamento (UE) n.o 1024/2013 del Consejo (18) (en lo sucesivo, el «Reglamento del MUS»), de conformidad con las facultades y funciones que le atribuye el Reglamento del MUS (19). Es fundamental señalar que el reglamento DORA se centra en la resiliencia operativa, mientras que el reglamento propuesto se centra principalmente en la protección de los consumidores, y que esta diferencia puede requerir competencias diferentes.

1.5.

En este contexto, debe aclararse el papel del BCE en el marco del reglamento propuesto, en función de sus competencias de supervisión prudencial (véase la sección 2).

2.   Aclaración de la competencia supervisora del BCE

2.1.

El reglamento propuesto dispone que el BCE supervise su cumplimiento por las entidades de crédito significativas. Preocupa al BCE que el reglamento propuesto asigne así al BCE funciones de supervisión que no son de carácter prudencial, sino que se refieren a la protección de los consumidores. Esto sería incompatible con que el Consejo solo pueda encomendar por unanimidad al BCE tareas específicas relacionadas con la supervisión prudencial, de conformidad con el artículo 127, apartado 6, del Tratado. En consecuencia, el Reglamento del MUS encomienda al BCE, con fines de supervisión prudencial, la tarea de garantizar el cumplimiento por las entidades de crédito significativas de todos los actos pertinentes de la Unión que imponen a las entidades de crédito requisitos de implantación, entre otras cosas, de procesos sólidos de gestión de riesgos y mecanismos de control interno (20). La función supervisora prudencial del BCE a este respecto se limita a asegurar que las entidades de crédito apliquen políticas y procesos para evaluar y gestionar su exposición a los riesgos prudenciales, incluidos los riesgos relacionados con distintos aspectos de los modelos de negocio, el gobierno y los riesgos operacionales de las entidades. Estas funciones se asignan al BCE para garantizar la seguridad y solidez de las entidades de crédito y la estabilidad del sistema financiero (21). Por consiguiente, el BCE solo puede considerarse autoridad competente en la medida necesaria para llevar a cabo las funciones que le atribuyen el Tratado y el Reglamento del MUS (22).

2.2.

El reglamento propuesto persigue el objetivo de la protección de los consumidores y no el de garantizar la seguridad y solidez de las entidades de crédito. Lo hace: 1) estableciendo normas sobre el intercambio de los datos financieros de los clientes y el acceso a ellos, y 2) tratando de garantizar que esas normas se ajusten a los requisitos y obligaciones necesarios para aumentar el control y la transparencia. Por consiguiente, la supervisión del cumplimiento por las entidades de crédito significativas de los requisitos establecidos en el reglamento propuesto no entra en el ámbito de las competencias de supervisión prudencial del BCE establecidas en el Tratado y en el Reglamento del MUS. Esta conclusión se ajusta al considerando 28 del Reglamento del MUS, que aclara que la protección de los consumidores no figura entre las funciones de supervisión atribuidas al BCE y sigue siendo competencia de las autoridades nacionales. Por lo tanto, el texto del reglamento propuesto debe aclarar sin ambigüedad que el BCE no está designado como autoridad competente encargada de funciones de protección de los consumidores (23), inclusive en calidad de supervisor en base consolidada (24).

2.3.

No obstante, el BCE subraya la necesidad de proporcionar una base jurídica clara para garantizar la cooperación (25) e incluso facilitar el intercambio de la información pertinente entre el BCE y las autoridades competentes designadas en virtud del reglamento propuesto. Esto se ajusta al considerando 29 del Reglamento del MUS, que especifica que el BCE debe cooperar plenamente, según resulte oportuno, con las autoridades nacionales que sean competentes para garantizar un nivel elevado de protección del consumidor.

2.4.

Sobre esta base, el BCE sugiere que el artículo 3, apartado 4, el artículo 17, apartado 4, el artículo 18, apartado 1, letra b), inciso v), y el artículo 26, apartado 1, del reglamento propuesto, se modifiquen para garantizar que las competencias del BCE en virtud del reglamento propuesto reflejen las funciones que le atribuyen el Tratado y el Reglamento del MUS. En un documento técnico de trabajo aparte, disponible en inglés en EUR-Lex, figuran las propuestas de redacción específicas, acompañadas de explicaciones, correspondientes a los puntos del reglamento propuesto que el BCE recomienda modificar.

---

(1)  COM(2023) 360 final.

(2)  COM(2020) 66 final.

(3)  Véase el artículo 3, punto 5, del reglamento propuesto.

(4)  Véase el artículo 3, punto 6, del reglamento propuesto.

(5)  Véase el artículo 3, punto 2, y el artículo 5, del reglamento propuesto.

(6)  Véanse los artículos 4 y 5 del reglamento propuesto.

(7)  Véase el artículo 8 del reglamento propuesto.

(8)  Véase el artículo 6 del reglamento propuesto.

(9)  Véanse los artículos 12 a 14 del reglamento propuesto.

(10)  Véase el artículo 7 del reglamento propuesto.

(11)  Véanse los artículos 9 y 10 del reglamento propuesto.

(12)  Véanse el artículo 2, apartado 1, letras a) y f), y los artículos 4 y 5, del reglamento propuesto.

(13)  Reglamento (UE) 2016/867 del Banco Central Europeo, de 18 de mayo de 2016, sobre la recopilación de datos granulares de crédito y de riesgo crediticio (BCE/2016/13) (DO L 144 de 1.6.2016, p. 44).

(14)  Véase el artículo 17, apartado 1, del reglamento propuesto.

(15)  Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).

(16)  Véase el artículo 17, apartado 4, del reglamento propuesto.

(17)  Véase el artículo 17, apartado 4, del reglamento propuesto.

(18)  Reglamento (UE) n.o 1024/2013 del Consejo, de 15 de octubre de 2013, que encomienda al Banco Central Europeo tareas específicas respecto de políticas relacionadas con la supervisión prudencial de las entidades de crédito (DO L 287 de 29.10.2013, p. 63).

(19)  Véase el artículo 46, letra a), del reglamento DORA.

(20)  Véase el artículo 4, apartado 1, letra e), del Reglamento del MUS.

(21)  Véase el considerando 30 del Reglamento del MUS.

(22)  La observación de que solo se pueden asignar al BCE funciones de supervisión prudencial se entiende sin perjuicio de la posibilidad de que los Estados miembros asignen las funciones de supervisión establecidas en el reglamento propuesto a las autoridades prudenciales nacionales.

(23)  Véase el apartado 2 del Dictamen CON/2021/40 del Banco Central Europeo, de 29 de diciembre de 2021, acerca de una propuesta de reglamento por el que se establecen normas armonizadas en materia de inteligencia artificial (DO C 115 de 11.3.2022, p. 5).

(24)  Véase el artículo 18, apartado 1, letra b), inciso v), del reglamento propuesto.

(25)  Véase el apartado 3 del Dictamen CON/2022/4 del Banco Central Europeo, de 16 de febrero de 2022, sobre una propuesta de reglamento por el que se crea la Autoridad de Lucha contra el Blanqueo de Capitales y la Financiación del Terrorismo (DO C 210 de 25.5.2022, p. 5).