María Vidal, socia finReg360: “La entrada en vigor del Reglamento DORA hará a las empresas más seguras al reducir sus riesgos en ciberseguridad”

La trayectoria profesional como abogada de María Vidal, hoy socia y codirectora de la práctica de derecho TIC y profesión de datos en la boutique finReg360 siempre estuvo volcada en el derecho digital. “Tras mi paso por la Universidad de Navarra, tuve claro que quería especializarme en derecho tecnológico. Al final me metí en el máster de ICADE sobre tecnologías de inteligencia artificial (IA). Información del profesor Miguel Ángel Davara, maestro de generaciones de abogados y otros expertos”, rememora.

Desde ese momento, la carrera de María se ha ido adaptando a los cambios tecnológicos que han ido surgiendo, como a su propia regulación. Entre ellos destaca el Reglamento General de Protección de Datos (RGPD), que generó un cambio importante para las empresas y organizaciones. “La llegada del RGPD cambió mucho el marco normativo; la gente de las organizaciones empezó a estar más concienciada de la importancia de seguir con esta normativa”, reconoce a este medio de comunicación.

A su juicio, el Reglamento de IA, aprobado en agosto del 2024, también es una norma que va a cambiar muchas cosas: “Es muy parecido al de protección de datos. Son normas espejos. Como jurista, te sientes cómodo porque el Reglamento de IA ya se conoce, pero eso no ha pasado con el recién aprobado Reglamento Dora. Esta es una norma con mucho impacto y muy distinta de lo que teníamos en la mesa de la normativa de las entidades financieras. Meses después de la creación de finReg360, Javier Aparicio y yo pusimos en marcha esta área de derecho digital”.

Dora entrará en vigor el próximo 17 de enero, centrado sobre todo en la resiliencia de las empresas o pymes vinculadas al sector financiero en todas sus vertientes, tradicional o más tecnológicas. “Este nuevo Reglamento lo que busca es que la entidad financiera sea resiliente, desde el punto de vista digital. El objetivo es crear ese marco unificado europeo. Codificar todas las normas existentes desde el punto de vista de resiliencia operativa digital. De alguna forma, con la implementación de Dora las empresas serán más seguras porque se minimiza mucho ese riesgo”, señala esta abogada.

Esta abogada recuerda las similitudes del Reglamento de IA respecto del Reglamento General de Protección de Datos. (Imagen: finReg360)

En este sentido, María Vidal recuerda que “en los entornos financieros está todo codificado, tanto a nivel de inversión, solvencia o prevención de blanqueo. Ahora, lo que se pretende es codificar la norma, sobre todo lo que tiene que ver sobre riesgo tecnológico. Hasta ahora, pese a que hemos tenido las directivas Nis y Nis2, volaban muy alto. Nis y Dora encajan bien y hay cierta simetría, pero Dora baja a un nivel de detalle importante. Podría ser un marco legal que siguiera cualquier sector que no fuera el financiero”.

En cuanto a las inversiones que hacen las empresas para adaptarse a Dora, Vidal expresa que “parece evidente que hay que hacerlo. Hay que darse cuenta de que ya existen entidades financieras que estaban llevando a cabo sus pruebas de resiliencia operativa digital, con unos test de penetración completos. También hacían pruebas de restitución periódica con cierta frecuencia. Eso hace que el trabajo de esas empresas fuera —sobre todo— documentar lo que estaban haciendo. Eso implica que el nivel de recursos es menor que si tienes que empezar de cero”.

En su opinión, “para implementar Dora hay que invertir en tecnología, lo que nos ayudará a cumplir con todos los hitos normativos que tenemos sobre la mesa. Y al mismo tiempo esa tecnología nos ayudará a realizar un seguimiento de todo lo que estemos implementando. Dora es una nueva pata de control relacionada con la resiliencia tecnológica que se une a la actividad de cumplimiento donde se encuentra la área de prevención de blanqueo de capitales, la área regulatoria pura y dura y de protección de datos. Ahora hay otra pata de control de marcado cariz tecnológico”.

Según ella, “las entidades financieras están más concienciadas desde el punto de vista del cumplimiento regulatorio. Eso implica que cuando hacen sus análisis de negocios hay una parte de estrategia regulatoria, lo que provoca que el negocio se enfoque mucho en ese cumplimiento normativo. Eso hizo que esta área de tecnología y protección de datos se pusiera en marcha a poco de constituirse finReg360. Jorge Ferrer coincidió con Javier Aparicio en Cuatrecasas, por eso Javier se unió al proyecto. En mi caso, coincidí en Deloitte con Gloria Hernández y Sara Gutiérrez, socias actuales de esta boutique regulatoria, que me ayudaron a formar parte de esta iniciativa”.

Javier Aparicio y María Vidal, dos cabezas brillantes para gestionar la privacidad de finReg360. (Imagen: finReg360)

En la actualidad, esta boutique regulatoria esta formada por sesenta profesionales. Hay una parte regulatoria financiera importante que dirige Gloria Hernández donde también entra MICA como regulación. Hay también una pata fiscal que coordinan las abogadas Cristina y Ana Mayo, el área de consultoría estratégica. Nuestro servicio jurídico tiene mucho de consultoría, siempre enfocada en negocio En el área de Javier Aparicio y María, de derecho tecnológico hay 5 juristas y dos vacantes abiertas”, un perfil mas senior para que pueda dedicarme a los clientes. Y tenemos que abrir la puerta a Dora porque la norma es muy exigente”.

Dora es una norma compleja

Para esta jurista, el reglamento Dora es una norma compleja, «es una norma que cuando llegó los compañeros de cumplimiento y legal indicaron que era de nuestra área de tecnología. Es una norma muy técnica. Eso hace que sea difícil de digerir, sobre todo para los juristas. El objetivo de Dora es que las compañías minimizarían los riesgos desde ese punto de vista de cualquier problema que las empresas pudieran tener. Dora unifica una serie de normas para conseguir que una entidad financiera pueda tener un nivel alto de resiliencia operativa digital robusta«.

Esta experta también explica que la norma se divide en diferentes obligaciones por bloques: “Hay una parte importante de buen gobierno que al final exige que la entidad tenga bien designados en su organización los roles y responsabilidades de quien se encarga de qué. Aquí hay una pata importante sobre el Consejo y la alta dirección de la empresa a la que involucra de forma directa. Se busca que alguien del Consejo se encargue de Dora y tenga los conocimientos adecuados para hacerlo y tomar decisiones”.

“Dora asigna responsabilidades en el seno de dicha empresa. De hecho, esta normativa podría sancionar a la alta dirección dependiendo de la responsabilidad o negligencia en su hacer. Al mismo tiempo, exige una serie de protocolos que cristalizan en un marco de seguridad de la información. Este reglamento europeo se mete con continuidad, ya no solo en seguridad sino también te da la opción de testar a un tercero por si mañana sucede algo. Se trata de tener definidos distintos planes proactivos en el caso de que surjan ciertas incidencias”, aclara.

Los programas formativos de María Vidal ayudan a las empresas a entender mejor la complejidad de normas como Dora. (Imagen: finReg360)

A su juicio, un tema clave de Dora es que “obliga a las empresas a que hagan las pruebas necesarias para testar que esa estrategia de ciberseguridad es la adecuada, desde un enfoque de riesgos y de proporcionalidad. No puede implantar las mismas medidas una entidad de crédito de primer nivel, que una sociedad gestora con una actividad definida en el mercado. Al final lo que hacemos desde finReg360 son planes de adaptación a la norma a medida. Esa es la gran dificultad. Dora es muy exigente, el bajarlo a un terreno práctico no es sencillo. Su implementación es compleja, sin duda”.

Respecto a su entrada en vigor, María Vidal recuerda que “ha entrado en vigor ya, pero es de aplicación directa el próximo 17 de enero. En la actualidad, las empresas del sector financiero que son afectadas por Dora están haciendo un ejercicio notable de actividad y de adaptarse a este marco comunitario en formato de Reglamento. El trabajo de adaptación a este entorno regulatorio ya lo están haciendo muchas de ellas. Quizás el principal problema de su implementación tiene que ver con la gestión de terceros”.

Sobre dicha gestión, indica que «es ahora mismo lo más complicado de los proyectos de implementación a Dora. Al depender de terceros se complica más la cosa. Hay más dificultad de obtener información de esos proveedores de servicio que configuran nuestra cadena de suministros. Al mismo tiempo, hay cierta falta de interpretación de lo que es servicio TIC o lo que no es. Con lo cual, si eres proveedor de servicios TIC te tienes que adaptar a Dora y a sus propias exigencias regulatorias y tecnológicas».

En esas obligaciones, las empresas deben contar con “un registro de proveedores tecnológicos que deben entregar a las autoridades. Otra cuestión es que Dora obliga a revisar todos los contratos. Los contratos de prestación de servicios tecnológicos deben incluir una serie de requisitos, que a día de hoy ninguno tiene. La norma secundaria que regula la parte de subcontratación de servicios esenciales, cuando te apoyas en un tercero que te da soporte a una función esencial tuya, no está publicada formalmente aún”.

Desde esa perspectiva, María advierte que “tenemos paralizados los contratos por la falta de publicación de esa norma. Esperemos que el 17 de enero, cuando entre en vigor Dora, puedan salir los contratos”.