Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Cómo los gestores de activos europeos pueden proteger los datos de los clientes y cumplir con las expectativas de supervisión del BCE

Cómo los gestores de activos europeos pueden proteger los datos de los clientes y cumplir con las expectativas de supervisión del BCE

by Marc ten Eikelder updated febrero 11, 2026 Cumplimiento Regulatorio
Reading Time: 10 minutes

Los gestores de activos europeos operan bajo una convergencia de expectativas regulatorias que cada vez más consideran la protección de datos de los clientes como una prioridad supervisora y no como una cuestión operativa secundaria. La Ley de Resiliencia Operativa Digital (DORA), aplicable desde el 17 de enero de 2025, se dirige directamente a los gestores de fondos de inversión alternativos (AIFMs), sociedades gestoras de UCITS y empresas de inversión. La Guía del BCE sobre la externalización de servicios en la nube, publicada en julio de 2025, traduce las reglas de riesgo de terceros de DORA en referencias supervisoras detalladas que los Equipos Conjuntos de Supervisión (JST) utilizan en sus exámenes. ESMA publicó en septiembre de 2025 directrices revisadas sobre externalización en la nube que cubren depositarios bajo AIFMD y UCITS que quedan fuera del alcance de DORA.

En conjunto, estos marcos crean un entorno regulatorio donde la soberanía de los datos deja de ser una preocupación teórica para convertirse en una prueba supervisora práctica. ¿Puede tu empresa demostrar dónde residen los datos de las carteras de clientes, las comunicaciones con inversores y la correspondencia regulatoria, quién puede acceder a ellos y qué impide su divulgación no autorizada? Para los gestores de activos que utilizan proveedores de nube con sede en EE. UU. para intercambio de archivos, correo electrónico o colaboración, la respuesta sincera suele quedarse corta respecto a lo que los reguladores esperan hoy.

Esta guía analiza cómo los gestores de activos europeos pueden proteger los datos de sus clientes mediante una arquitectura soberana que cumpla simultáneamente con las expectativas del BCE, los mandatos de DORA y las directrices de ESMA, con especial atención a las realidades operativas de las empresas con clientes institucionales alemanes.

Resumen Ejecutivo

Idea principal: Los gestores de activos europeos afrontan expectativas supervisoras superpuestas del BCE, ESMA y reguladores nacionales que exigen control demostrable sobre los datos de clientes procesados por proveedores de nube. La Guía del BCE de julio de 2025 identifica explícitamente el cifrado de datos, la evaluación de riesgos geopolíticos y el vendor lock-in como áreas de enfoque supervisor. Los gestores que dependen de plataformas operadas por empresas estadounidenses para el intercambio de datos confidenciales enfrentan una brecha estructural entre su arquitectura actual y lo que esperan los supervisores, ya que los proveedores sujetos al CLOUD Act no pueden garantizar la confidencialidad de los datos de los clientes, independientemente de los compromisos contractuales.

Por qué te debe importar: Los JST del BCE solicitarán pruebas documentadas de cumplimiento en la externalización en la nube como parte de los ciclos supervisores de 2026. Las sanciones de DORA pueden alcanzar hasta el 10% de la facturación anual por infracciones graves. Las directrices revisadas de ESMA se aplican a nuevos y modificados acuerdos de externalización en la nube a partir del 30 de septiembre de 2025. Los inversores institucionales alemanes, especialmente fondos de pensiones y aseguradoras sujetos a la supervisión de BaFin, exigen cada vez más soberanía de datos demostrable a sus gestores como condición para otorgar mandatos.

5 conclusiones clave

  1. La Guía del BCE crea referencias supervisoras prácticas para la externalización en la nube. Los JST utilizarán la Guía de julio de 2025 como referencia en sus evaluaciones, cubriendo gobernanza, evaluación de riesgos, cifrado de datos, ubicación de datos, estrategias de salida y concentración de proveedores. Aunque formalmente no es vinculante, no alinearse invita a hallazgos en el SREP.
  2. DORA se aplica directamente a AIFMs, sociedades gestoras de UCITS y empresas de inversión. Estas entidades deben implementar marcos de gestión de riesgos TIC, mantener Registros de Información de todos los acuerdos con terceros TIC y demostrar resiliencia operativa bajo el mismo régimen sancionador que los bancos.
  3. El BCE espera que las claves de cifrado sean únicas para cada entidad supervisada. La Guía indica específicamente que las claves de cifrado utilizadas por los proveedores en la nube no deben compartirse con otros clientes, señalando la gestión de claves controlada por el cliente como estándar supervisor.
  4. La evaluación de riesgos geopolíticos es ahora una expectativa explícita del BCE. Los gestores deben elaborar una lista de países donde se pueden almacenar datos, considerando riesgos legales y políticos. La residencia de datos en la UE ofrecida por proveedores estadounidenses no satisface este requisito si el proveedor sigue sujeto a leyes extranjeras de acceso gubernamental.
  5. Los inversores institucionales alemanes impulsan requisitos de soberanía mediante condiciones de mandato. Fondos de pensiones, aseguradoras y Sparkassen exigen cada vez más que los gestores demuestren que los datos de clientes están protegidos bajo jurisdicción europea, con claves de cifrado controladas por el cliente e implementación europea.

El marco regulatorio que deben navegar los gestores de activos

DORA: aplicación directa a la gestión de activos

DORA se aplica a una amplia gama de entidades financieras, incluidos los AIFMs bajo la Directiva de Gestores de Fondos de Inversión Alternativos, sociedades gestoras de UCITS y empresas de inversión bajo MiFID II. Estas entidades deben establecer marcos integrales de gestión de riesgos TIC que cubran identificación, protección, detección, respuesta y recuperación. DORA exige que las entidades financieras mantengan un Registro de Información que documente todos los acuerdos contractuales con proveedores de servicios TIC de terceros, con plazos iniciales de presentación fijados por los reguladores nacionales a principios de 2025.

Para los gestores de activos, el pilar de gestión de riesgos de terceros de DORA es especialmente relevante. Los sistemas de gestión de carteras, plataformas de reporting para inversores, uso compartido seguro de archivos para documentos de due diligence y canales de presentación regulatoria constituyen servicios TIC dentro del alcance de DORA. Cuando estos servicios soportan funciones críticas o importantes, DORA exige requisitos contractuales reforzados, incluidos derechos de auditoría, derechos de terminación, estrategias de salida y procedimientos de notificación de incidentes.

Guía del BCE sobre externalización de servicios en la nube (julio de 2025)

La Guía del BCE se publicó el 16 de julio de 2025, tras una consulta pública que recibió 696 comentarios de 26 participantes. Aunque su alcance directo cubre a las entidades de crédito bajo supervisión del BCE, la posición del BCE como principal regulador financiero de Europa implica que los supervisores nacionales probablemente adopten sus estándares al examinar gestores de activos y empresas de inversión.

La Guía traduce los requisitos de DORA en expectativas supervisoras prácticas en seis áreas directamente relevantes para los gestores que manejan datos de clientes.

Gobernanza. El órgano de administración mantiene la responsabilidad última de la gestión de riesgos TIC. Las empresas deben alinear su estrategia de nube con la estrategia general de negocio y resiliencia digital, y aplicar el mismo nivel de diligencia que si los servicios se realizaran internamente.

Evaluación de riesgos. Antes de cualquier acuerdo en la nube, las empresas deben realizar una evaluación de riesgos ex ante que aborde vendor lock-in, riesgo de concentración, riesgos de multi-tenancy, preocupaciones de protección de datos y riesgos geopolíticos. El BCE espera que las empresas elaboren una lista de países donde se pueden almacenar datos, considerando riesgos legales y políticos, y evalúen riesgos adicionales cuando los subcontratistas estén en países distintos al proveedor principal de nube.

Cifrado de datos. La Guía recomienda políticas integrales de cifrado y control criptográfico, definiendo algoritmos, longitudes de clave y flujos de datos que sigan estándares contemporáneos. El BCE indica que las claves de cifrado utilizadas por el proveedor para los datos de la entidad supervisada deben ser únicas y no compartirse con otros clientes.

Ubicación de los datos. Las empresas deben restringir los lugares donde los proveedores pueden almacenar datos e implementar mecanismos de trazabilidad para monitorizar el cumplimiento. La Guía hace referencia explícita a los riesgos geopolíticos al evaluar ubicaciones de almacenamiento de datos.

Estrategias de salida. Las empresas deben desarrollar planes de salida detallados para cada contrato de externalización crítico, incluyendo procedimientos claros, definición de roles y estimaciones de costes para la transición de servicios. El BCE recomienda derechos de terminación que cubran cambios de jurisdicción del proveedor, traslados de centros de datos y cambios regulatorios que afecten al procesamiento de datos.

Concentración de proveedores. El BCE señala que el mercado de la nube está altamente concentrado en pocos proveedores y exige reevaluaciones periódicas de los riesgos de concentración. Anneli Tuominen, miembro del Consejo de Supervisión del BCE, afirmó en julio de 2025 que la dependencia de los bancos de un puñado de proveedores expone a riesgos que siguen siendo prioridad del BCE en tiempos de tensiones geopolíticas elevadas.

¿Qué estándares de cumplimiento de datos importan?

Read Now

Directrices de ESMA sobre externalización en la nube (septiembre de 2025)

ESMA publicó directrices revisadas sobre externalización en la nube en septiembre de 2025, restringiendo su alcance a depositarios bajo AIFMD y UCITS que no están sujetos a DORA. Para los gestores ya cubiertos por DORA, las directrices de ESMA quedan en gran parte superadas, pero siguen siendo relevantes como referencia para una implementación proporcionada. Las directrices cubren nueve áreas, incluyendo gobernanza, due diligence previa a la externalización, requisitos contractuales, seguridad de la información, estrategias de salida, derechos de auditoría, subexternalización, notificación a la autoridad competente y supervisión.

Expectativas supervisoras de BaFin para empresas con conexión alemana

Los gestores de activos que trabajan con inversores institucionales alemanes afrontan un escrutinio adicional a través del marco supervisor de BaFin. El aviso supervisor de BaFin de 2024 sobre externalización en la nube exige a las empresas supervisadas abordar el cifrado y la gestión de claves como temas centrales de gobernanza. Los inversores institucionales alemanes sujetos a la supervisión de BaFin, incluidos fondos de pensiones bajo la Pensionsfonds-Aufsichtsverordnung y aseguradoras bajo las directrices de externalización de EIOPA, trasladan cada vez más estos requisitos regulatorios a sus gestores como condiciones de mandato. Un gestor que no pueda demostrar soberanía europea de los datos corre el riesgo de perder mandatos de asignadores alemanes.

Por qué la protección de los datos de clientes requiere más que cumplimiento

Los datos que deben proteger los gestores de activos

Los gestores de activos procesan categorías de datos con perfiles de sensibilidad distintos: datos personales de inversores y documentación KYC sujetos a GDPR, posiciones de cartera y estrategias de trading que constituyen secretos comerciales, materiales de due diligence compartidos bajo acuerdos de confidencialidad, correspondencia regulatoria con autoridades competentes nacionales y comunicaciones internas de comités de inversión que influyen en decisiones de asignación. Cada categoría exige protección no solo bajo GDPR, sino también bajo las obligaciones fiduciarias que definen la relación de gestión de activos.

Cuando estos datos circulan por plataformas operadas por proveedores con sede en EE. UU., el CLOUD Act y la Sección 702 de FISA crean una vía de acceso que los supervisores e inversores institucionales consideran cada vez más incompatible con los estándares europeos de protección de datos. Una solicitud del gobierno estadounidense al proveedor puede obligar a entregar datos de cartera, comunicaciones con inversores o correspondencia regulatoria sin conocimiento ni consentimiento del gestor.

La dimensión fiduciaria

Los gestores de activos tienen deberes fiduciarios hacia sus clientes que van más allá del cumplimiento normativo. Según el Artículo 12 de AIFMD y el Artículo 14 de la Directiva UCITS, los gestores deben actuar en el mejor interés de los fondos y sus inversores. Mantener datos de clientes en plataformas donde un gobierno extranjero pueda acceder a posiciones de cartera o estrategias de trading sin conocimiento del gestor crea un riesgo fiduciario que ningún contrato con el proveedor puede resolver.

Los inversores institucionales alemanes son especialmente sensibles a esta dimensión. Los derechos de cogestión del Betriebsrat (consejo de empresa) que aplican a planes de pensiones corporativos, junto con la aplicación de la protección de datos de empleados por parte de BfDI, implican que los asignadores de fondos de pensiones deben demostrar ante sus propios supervisores y consejos de empresa que la gestión de datos por parte del gestor cumple los estándares alemanes.

Arquitectura soberana para gestores de activos

Cumplir con las expectativas del BCE, los requisitos de DORA y las demandas de los inversores institucionales requiere tres capacidades arquitectónicas que, en conjunto, permiten una gobernanza de datos verificable.

Claves de cifrado controladas por el cliente

El requisito de la Guía del BCE de claves de cifrado únicas por entidad supervisada apunta directamente a la gestión de claves controlada por el cliente. En este modelo, el gestor genera y almacena las claves de cifrado en su propio módulo de seguridad hardware (HSM), ya sea en sus instalaciones o en un centro de datos europeo controlado por la institución. La plataforma en la nube procesa los datos cifrados pero nunca posee las claves de descifrado. Esto cumple con las expectativas del BCE sobre cifrado, responde a los requisitos de protección de datos de DORA y elimina el riesgo de acceso bajo el CLOUD Act, ya que el proveedor no puede entregar datos legibles ni siquiera bajo requerimiento legal.

Implementación europea de tenencia única

La implementación de tenencia única en infraestructura europea dedicada sirve a un solo cliente desde sistemas aislados. Combinada con el cifrado controlado por el cliente, elimina tanto la vía lógica de acceso (claves de cifrado) como la vía física (infraestructura compartida) que generan dependencia del proveedor. También responde a las preocupaciones del BCE sobre concentración de proveedores, permitiendo al gestor mantener independencia operativa genuina en lugar de ocupar una partición en una plataforma global multi-tenant.

Residencia de datos y registros auditables aplicados por políticas

El BCE espera que las empresas restrinjan las ubicaciones de almacenamiento de datos e implementen mecanismos de trazabilidad. El geofencing técnico que limita los datos a centros de datos alemanes o de la UE, impide la replicación fuera de la UE y proporciona registros auditables completos de todos los accesos, ofrece esta capacidad a nivel de plataforma. Los registros auditables completos respaldan los requisitos de notificación de incidentes de DORA y aportan las pruebas documentales que los JST solicitarán durante las revisiones supervisoras.

Implementación para gestores de activos europeos

Fase 1: inventariar y clasificar los acuerdos TIC

Mapea todos los servicios en la nube que procesan datos de clientes, comunicaciones con inversores, correspondencia regulatoria y materiales internos de inversión. Clasifica cada servicio según los criterios de función crítica o importante de DORA. Para cada proveedor, documenta jurisdicción, modelo de cifrado, arquitectura de gestión de claves y clasificación de riesgo de terceros. Utiliza este inventario para completar el Registro de Información de DORA.

Fase 2: realizar evaluaciones de riesgos alineadas con el BCE

Aplica el marco de evaluación de riesgos de la Guía del BCE a cada acuerdo en la nube. Evalúa el riesgo de vendor lock-in, concentración, exposición a multi-tenancy y riesgo geopolítico. Para servicios operados por empresas estadounidenses, documenta si el proveedor puede acceder a datos de clientes descifrados bajo requerimiento legal extranjero y evalúa las implicaciones para las obligaciones fiduciarias y los requisitos de mandato de inversores institucionales.

Fase 3: transición a una arquitectura soberana

Prioriza los servicios que manejan los datos más sensibles: materiales KYC de inversores, posiciones de cartera, estrategias de trading y presentaciones regulatorias. Migra estas funciones a plataformas que ofrezcan cifrado controlado por el cliente, implementación europea de tenencia única y residencia de datos aplicada por políticas. Valida mediante pruebas independientes que el proveedor no puede acceder a los datos descifrados. Desarrolla estrategias de salida alineadas con las disposiciones de terminación recomendadas por el BCE.

Fase 4: documentar el cumplimiento para revisión supervisora

Prepara un paquete de evidencias que incluya documentación de la gestión de claves de cifrado, configuración de la implementación, registros de aplicación de geofencing y registros auditables completos de la cadena de custodia. Estructura esta documentación para alinearla con las expectativas de la Guía del BCE, los requisitos del Registro de Información de DORA y los estándares de evidencia supervisora que aplican los JST y reguladores nacionales en los exámenes.

La protección de datos de clientes es una ventaja competitiva para los gestores de activos europeos

Los inversores institucionales europeos no esperan a que los reguladores exijan la soberanía de los datos. Fondos de pensiones alemanes, aseguradoras y asignadores del sector público ya incorporan requisitos de protección de datos en sus procesos de selección de gestores. Los gestores que pueden demostrar una arquitectura genuina de confianza cero con cifrado controlado por el cliente, implementación europea y capacidades de auditoría integral se diferencian en un mercado donde la competencia en protección de datos es señal de madurez operativa.

La Guía del BCE, DORA y las directrices de ESMA establecen el mínimo regulatorio. Los gestores que cumplen y superan estos requisitos no solo evitan sanciones. Están construyendo la infraestructura de confianza que exigen los inversores institucionales.

Kiteworks ayuda a los gestores de activos europeos a proteger los datos de clientes cumpliendo expectativas supervisoras

La Red de Datos Privados de Kiteworks proporciona la arquitectura soberana que los gestores de activos europeos necesitan para cumplir simultáneamente con las expectativas del BCE, los requisitos de DORA y las demandas de los inversores institucionales. Kiteworks opera con un modelo de cifrado gestionado por el cliente, donde el gestor genera y conserva las claves de cifrado en su propio HSM. Kiteworks no puede acceder al contenido descifrado ni responder a demandas de gobiernos extranjeros para entregar datos legibles, porque no posee las claves.

Kiteworks se implementa como una instancia de tenencia única en infraestructura europea dedicada, incluyendo opciones en las instalaciones, nube privada y dispositivo virtual reforzado. El geofencing integrado aplica la residencia de datos a nivel de plataforma. El registro de auditoría integral captura cada acceso a archivos, acción de usuario y cambio administrativo, proporcionando la evidencia de monitorización continua que exigen DORA y la Guía del BCE. Kiteworks respalda el cumplimiento de DORA en sus cinco pilares mediante un enfoque de gobernanza unificado para comunicaciones de contenido confidencial.

La plataforma unifica el uso compartido seguro de archivos, protección de correo electrónico, transferencia de archivos gestionada y formularios web bajo un único marco, permitiendo a los gestores abordar las expectativas de externalización del BCE, los requisitos de riesgo de terceros de DORA y las demandas de protección de datos de inversores en todos los canales de intercambio de datos con una sola arquitectura y un único paquete de evidencias supervisoras.

Para saber más sobre cómo proteger los datos de clientes cumpliendo las expectativas supervisoras del BCE, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

DORA se aplica directamente a AIFMs, sociedades gestoras de UCITS y empresas de inversión, independientemente de si están bajo supervisión del BCE. El alcance de DORA cubre prácticamente todas las entidades financieras reguladas en la UE, incluidos los gestores de fondos de inversión alternativos bajo AIFMD y las sociedades gestoras de UCITS. La Guía del BCE, aunque formalmente aplicable a entidades de crédito supervisadas directamente, establece referencias supervisoras que los reguladores nacionales probablemente adopten. Los gestores deben tratar las expectativas de la Guía del BCE sobre gobernanza de datos, cifrado y gestión de riesgos de proveedores como estándares de facto, incluso donde no estén supervisados directamente por el BCE.

El BCE recomienda políticas integrales de cifrado que cubran datos en tránsito, en reposo y, cuando sea posible, en uso, con claves únicas para cada entidad supervisada. La Guía exige definir algoritmos de cifrado y longitudes de clave siguiendo estándares contemporáneos, con revisiones periódicas. El requisito explícito de que las claves de cifrado no se compartan con otros clientes en la nube apunta a la gestión de claves controlada por el cliente como estándar supervisor. Los gestores deben implementar arquitecturas de cifrado donde las claves se generen y almacenen en su propio HSM para cumplir estas expectativas.

El BCE espera que las empresas elaboren una lista de países aceptables para el almacenamiento de datos, considerando riesgos legales y políticos, lo que exige una evaluación honesta de la exposición al CLOUD Act y FISA 702. Almacenar datos en un centro de datos en Fráncfort operado por un proveedor estadounidense aporta localización geográfica pero no soberanía legal. La evaluación de riesgo geopolítico debe considerar si la jurisdicción de origen del proveedor permite el acceso gubernamental a los datos de clientes, independientemente de la ubicación de almacenamiento. Los gestores pueden abordar esto implementando una arquitectura de soberanía de datos donde el proveedor no pueda acceder a los datos descifrados, neutralizando el riesgo de jurisdicción extranjera a nivel técnico de implementación.

DORA exige estrategias de salida para todos los acuerdos TIC que soportan funciones críticas, y la Guía del BCE recomienda derechos de terminación ampliados que cubran cambios de jurisdicción, traslados de centros de datos y cambios regulatorios. Los gestores deben demostrar que pueden cambiar de proveedor en la nube sin interrumpir los servicios a clientes. Esto incluye procedimientos documentados, asignación de roles, estimaciones de costes y planes de transición probados. Las plataformas basadas en protocolos estándar con portabilidad total de datos simplifican la planificación de salida, mientras que las evaluaciones de riesgo de concentración de proveedores deben realizarse regularmente según exige el BCE.

Sí. Los fondos de pensiones alemanes, aseguradoras y asignadores del sector público incluyen cada vez más requisitos de protección de datos en sus criterios de selección de mandatos. Las instituciones supervisadas por BaFin deben demostrar una protección de datos adecuada a lo largo de su cadena de suministro, incluidas las relaciones con los gestores de activos. Los derechos de cogestión del consejo de empresa bajo el artículo 87(1) n.º 6 de BetrVG aplican cuando se procesan datos de pensiones de empleados, generando requisitos adicionales de rendición de cuentas. Los gestores que demuestran soberanía europea de los datos mediante cifrado controlado por el cliente, implementación de tenencia única y registros auditables completos se diferencian en el mercado institucional alemán.

Recursos adicionales 

  • Artículo del Blog  
    Soberanía de datos: ¿mejor práctica o requisito regulatorio?
  • eBook  
    Soberanía de datos y GDPR
  • Artículo del Blog  
    Evita estos errores en soberanía de datos
  • Artículo del Blog  
    Mejores prácticas de soberanía de datos
  • Artículo del Blog  
    Soberanía de datos y GDPR [Entendiendo la seguridad de los datos]

    •  

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks