Así afecta la Ley DORA al Delegado de Protección de Datos en entidades bancarias

Más de 600 empresas del sector bancario se ven obligadas a replantear sus estrategias de privacidad y resiliencia, con la figura del DPO como actor protagonista

CapitalBolsa
Capitalbolsa | 03 abr, 2025 16:42
dora marco legislativo

La entrada en vigor del Reglamento DORA (Digital Operational Resilience Act) marca un antes y un después en la resiliencia digital del sector financiero en Europa.

Aunque el nuevo marco legal se centra en la ciberseguridad y la continuidad operativa, su implementación tiene un impacto directo en el trabajo del Delegado de Protección de Datos (DPO) dentro de las entidades bancarias. Adaptarse a esta normativa no solo es una cuestión técnica, sino también estratégica y regulatoria.

Desde Grupo Atico34, valorada por entidades y usuarios como una de las mejores empresas de protección de datos en España, lo tienen claro: “DORA obliga a las entidades financieras a repensar sus modelos de gestión del riesgo desde una perspectiva transversal, y eso incluye inevitablemente el tratamiento de datos personales y el papel del DPO en todos los procesos críticos”.

El DPO: figura clave en el cumplimiento del RGPD bancario

El Delegado de Protección de Datos (DPO) es una figura obligatoria en todas las entidades bancarias y de crédito según el Reglamento General de Protección de Datos (RGPD). Su papel consiste en supervisar el cumplimiento normativo en materia de privacidad, asesorar sobre evaluaciones de impacto, actuar como enlace con la AEPD y velar por la protección efectiva de los datos personales.

En el ámbito bancario, su relevancia es aún mayor. Como recuerdan desde Atico34: “El sector financiero gestiona algunos de los datos más sensibles y valiosos: información económica, hábitos de consumo, geolocalización, solvencia, perfiles de riesgo… Cualquier brecha o uso indebido puede tener consecuencias reputacionales y legales enormes”.

Hasta ahora, el enfoque del DPO estaba centrado en asegurar el cumplimiento del RGPD y la LOPDGDD. Con la llegada de DORA, ese enfoque debe ampliarse.

¿Qué exige la Ley DORA a las entidades y cómo afecta al DPO?

No hay que olvidar que la tanto la obligación de cumplir el reglamento DORA como la de tener un DPO afecta a las más de 600 entidades del sector que operan en nuestro país según el Banco de España, entre entidades de créditos, fintechs, aseguradoras y reaseguradoras o sociedades gestoras.

Aunque la Ley DORA no menciona expresamente al Delegado de Protección de Datos, sus implicaciones sobre su función son múltiples. Este nuevo reglamento, que será plenamente aplicable desde enero de 2025, exige a las entidades financieras que refuercen su resiliencia operativa digital ante ciberataques, fallos tecnológicos y otras amenazas.

Esto se traduce en varios frentes donde el DPO debe estar presente:

● Gestión de riesgos TIC: El DPO deberá coordinarse con equipos de seguridad y cumplimiento para asegurar que el tratamiento de datos personales esté contemplado en las nuevas estrategias de gestión de riesgos tecnológicos.

● Notificación de incidentes: Si un ciberataque afecta a datos personales, la entidad deberá hacer una doble notificación: a la autoridad financiera y a la autoridad de protección de datos (como la AEPD). Aquí el DPO juega un papel decisivo en los tiempos y en la trazabilidad de la información.

● Control de proveedores TIC: DORA exige supervisar a terceros tecnológicos con un rol crítico. El DPO deberá participar en la revisión de contratos para garantizar cláusulas de privacidad conforme al RGPD.

● Pruebas de resiliencia digital: Muchas entidades realizarán simulacros o pruebas de penetración (pentesting). Si se usan datos reales o pseudonimizados, el DPO debe autorizar o auditar que se respeten los principios de minimización y confidencialidad.

Desde Grupo Atico34 insisten: “DORA obliga a que la ciberseguridad y la privacidad trabajen codo a codo. Ya no basta con cumplir normativas por separado; ahora es necesario un enfoque integrado, y eso refuerza el rol estratégico del DPO en la gobernanza digital de las entidades”.

Un nuevo enfoque estratégico: colaboración, prevención y visibilidad

DORA redefine la manera en que las entidades bancarias deben pensar la tecnología: no solo como una infraestructura técnica, sino como un ecosistema con riesgos jurídicos, regulatorios y reputacionales. En ese contexto, el Delegado de Protección de Datos debe salir del plano consultivo para convertirse en una figura activa en el diseño, control y auditoría de procesos clave.

Desde Grupo Atico34 lo resumen así: “La función del DPO ya no puede ser reactiva. Tiene que formar parte del núcleo de decisiones, desde la contratación de proveedores hasta la respuesta a incidentes o el diseño de nuevos servicios digitales. La privacidad por defecto y desde el diseño es más importante que nunca”.

Además, se espera que los organismos supervisores coordinen más estrechamente los marcos de cumplimiento: Banco de España, CNMV y AEPD ya están alineando sus directrices ante este nuevo escenario normativo. Por tanto, las entidades bancarias deben preparar a sus equipos legales, de seguridad y protección de datos para actuar como una unidad operativa interconectada.

DORA y DPO, una relación necesaria y complementaria

La Ley DORA no sustituye al RGPD, sino que lo complementa en un contexto de digitalización acelerada y ciberamenazas crecientes. El DPO debe adaptarse, no sólo para garantizar el cumplimiento legal, sino para contribuir activamente a la resiliencia digital y la protección de la confianza del cliente.

Las entidades bancarias que anticipen esta transición, doten de más recursos a sus Delegados de Protección de Datos y promuevan una cultura integrada de privacidad y seguridad, estarán en una posición más sólida para afrontar los retos del nuevo ecosistema financiero europeo.

Como bien concluyen desde Grupo Atico34: “La figura del DPO gana peso con DORA, no porque cambien sus funciones legales, sino porque el contexto operativo le convierte en un actor esencial para la continuidad del negocio”.

contador