Reglamento DORA y el registro de información de proveedores de servicios de TIC

28 abril, 2025

Barcelona

Reglamento DORA y el registro de información de proveedores de servicios de TIC

Barcelona, abril 2025

Introducción

El pasado 17 de enero entró en aplicación el Reglamento (UE) 2022/2554 del Parlamento europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero (en adelante, “Reglamento DORA”). El objetivo principal de este Reglamento europeo es el de lograr un elevado nivel común de resiliencia operativa digital del sector financiero a través de la imposición de una serie de requisitos relativos a la seguridad de las Tecnologías de la Información y la Comunicación (TIC) que sustentan los procesos empresariales de las entidades financieras.

En relación con dichos requisitos de ciberseguridad y resiliencia operativa, uno de los bloques más importantes afecta a los proveedores de servicios de TIC de las entidades financieras, especialmente a aquellos que sustentan funciones esenciales, en tanto que deben cumplir con ciertas prerrogativas contractuales y de supervisión para poder prestar sus servicios. Asimismo, las entidades financieras deben disponer de un registro de información en el que se incluya el estado de los proveedores de servicios de TIC el cual deberán comunicar a las Autoridades competentes.

El objetivo del presente Dossier es plasmar las principales obligaciones del Reglamento DORA, haciendo foco especialmente en la obligación de poner a disposición de la autoridad competente el registro completo de información de proveedores de servicios de TIC. Este inciso se lleva a cabo teniendo en cuenta la inminente finalización de los plazos establecidos por las Autoridades competentes para que las entidades financieras aporten dicho registro.

Contexto normativo y principales características

El Reglamento DORA nace de la preocupación de los reguladores europeos por las consecuencias que suponen el aumento de la digitalización y la interconexión entre entidades financieras, mercados financieros e infraestructuras de los mercados financieros, y en particular, las interdependencias de sus sistemas de TIC. Unos escenarios que, a razonamiento del regulador europeo, implican un mayor riesgo del sistema financiero a ciberamenazas o perturbaciones de las TIC que puedan provocar vulnerabilidades en el sector.

Por ello, en diciembre 2022 se aprobó el Reglamento DORA cuya entrada en vigor se fijó para el pasado 17 de enero de 2025, siendo obligatorio y aplicable en cada Estado Miembro a partir de entonces.

Es relevante destacar que el Reglamento DORA se dio en paralelo a la aprobación de la Directiva (UE) 2022/2555 (NIS II), como marco horizontal de ciberseguridad de la Unión Europea. No obstante lo anterior, el Reglamento DORA constituye una lex specialis con respecto a la Directiva NIS II en tanto que eleva el nivel de armonización de los distintos componentes de la resiliencia digital mediante la introducción de requisitos en materia de gestión del riesgo relacionado con las TIC y de notificación de incidentes relacionados con las TIC más estrictos que los establecidos en el derecho vigente de la Unión en materia de servicios financieros.

En cuanto a las entidades objeto de aplicación, tal y como se ha indicado anteriormente, el objeto de este Reglamento DORA es proteger el sistema financiero, por lo que su ámbito de aplicación se extiende a una amplia gama de entidades[1] de dicho sector, entre las que destacarían:

entidades de crédito;
entidades de pago;
empresas de servicios de inversión;
sociedades de gestión;
proveedores de servicios de suministro de datos;
empresas de seguros y de reaseguros;
intermediarios de seguros, intermediarios de reaseguros e intermediarios de seguros complementarios;
fondos de pensiones de empleo.
Proveedores de servicios de criptoactivos autorizados en virtud del Reglamento MiCA

En cuanto al contenido del Reglamento DORA, este obliga a las entidades financieras a abordar el riesgo relacionado con las TIC, haciendo foco en aspectos como: la gobernanza, la gestión de este riesgo, la notificación de incidentes, las pruebas de resiliencia operativa y el seguimiento del riesgo relacionado con las TIC derivado de terceros.

No obstante, el Reglamento DORA contempla la delegación del desarrollo de algunos requisitos por parte de las Autoridades europeas de supervisión[2], a través de los llamados Regulatory Technical Standards o RTS, por sus siglas en inglés, los cuales son sometidos al escrutinio de la Comisión Europea para su validación y promulgación.

Teniendo en cuenta lo anterior, a la hora de analizar el cumplimiento sobre el Reglamento DORA, se deberá tener en cuenta las distintas prerrogativas fijadas por la Comisión Europea en los distintos reglamentos de desarrollo que apruebe. En este sentido, a fecha de realización del presente Dosier, se encuentran aprobados los siguientes[3]:

Reglamento Delegado (UE) 2024/1774 de la Comisión sobre el marco de gestión de riesgos TIC y el marco simplificado de gestión de riesgo TIC.
Reglamento Delegado (UE) 2024/1772 de la Comisión sobre los criterios para la clasificación de los incidentes relacionados con las TIC.
Reglamento Delegado (UE) 2025/301 de la Comisión sobre el contenido y los plazos para la notificación de incidentes relacionados con las TIC y ciberamenazas importantes.
Reglamento de ejecución (UE) 2025/302 de la Comisión sobre las plantillas normalizadas para la notificación de incidentes relacionados con las TIC y ciberamenazas importantes.
Directrices conjuntas sobre la estimación de los costes y pérdidas anuales agregados causados por incidentes graves relacionados con las TIC.
Reglamento Delegado (UE) 2024/1773 de la Comisión sobre la política sobre acuerdos con proveedores de servicios TIC.
Reglamento de ejecución (UE) 2024/2956 de la Comisión sobre las plantillas normalizadas para el registro de información.

Finalmente, es conveniente indicar que, a nivel nacional, si bien el Reglamento DORA es de entera aplicación desde el 17 de enero de 2025 y que es necesario disponer de una normativa legal interna que desarrolle la configuración del Reglamento DORA dentro del entramado normativo de cada país, incluyendo especialmente el desarrollo del régimen sancionador. En el caso español, el pasado 17 de diciembre el Consejo de Ministros aprobó el anteproyecto de Ley de Digitalización y Modernización del sector financiero. Este fue elaborado en colaboración con el Banco de España, la CNMV y la Dirección General de Seguros y Fondos de Pensiones, así como de otros organismos con un interés directo en la digitalización del sector financiero. Estos organismos son de relevancia a nivel español en tanto que son las Autoridades competentes en relación con las distintas entidades a las que aplica el Reglamento DORA.

Principales obligaciones

El Reglamento DORA en su articulado, así como en conjunción con los reglamentos de desarrollos mencionados, establecen una diversidad de obligaciones a cumplir por parte de las entidades financieras. Sin embargo, la aplicación de dichas obligaciones debe ser proporcional a su tamaño y perfil de riesgo general, así como a la naturaleza, escala y complejidad de sus servicios, actividades y operaciones.

Por ello, el Reglamento DORA aplica un enfoque de proporcionalidad a fin de adecuar las obligaciones a la exposición, circunstancias y madurez de las entidades. Asimismo, el Reglamento DORA describe un marco simplificado de gestión del riesgo relacionado con las TIC, para el caso de aquellas entidades que se encuadren en alguna de las categorías establecidas en el artículo 16 del Reglamento DORA[4].

En cuanto a las obligaciones en las que se basa DORA, principalmente se pueden agrupar en los siguientes bloques:

Gobernanza
Gestión de riesgos
Identificación, protección y detección
Formación y comunicación
Gestión de incidentes
Proveedores de servicios TIC

Gobernanza: El Reglamento DORA establece la obligación de disponer de un marco interno de gobernanza y control, a fin de garantizar una gestión efectiva y prudente del riesgo relacionado con las TIC. Para ello, establece la necesidad de implicación por parte del órgano de dirección de la entidad financiera respecto a la definición, aprobación y supervisión de las disposiciones relacionadas con el marco de gestión del riesgo relacionado con las TIC. Asimismo, entre las obligaciones del órgano de dirección, se incluye la asunción de la responsabilidad última de gestionar el riesgo relacionado con las TIC, la definición de los cometidos y responsabilidades derivadas de las funciones relacionadas con las TIC y asumirá la responsabilidad general de establecer y aprobar la resiliencia operativa digital, incluyendo la determinación del nivel adecuado de tolerancia al riesgo relacionado con las TIC.

Gestión del riesgo: Las entidades financieras a las que les aplique el Reglamento DORA deben contar con un marco de gestión del riesgo relacionado con las TIC, en el que se deberá incluir las estrategias, políticas, procedimientos, protocolos y herramientas de TIC que sean necesarios para proteger adecuadamente todos los activos de información y activos de TIC, (incluidos el software, el hardware y los servidores), así como para proteger todos los componentes e infraestructuras físicos pertinentes, como locales, centros de datos y zonas sensibles designadas. De este modo, se debe garantizar que todos los activos de información y activos de TIC estén adecuadamente protegidos de los riesgos, incluidos los daños y el acceso o uso no autorizados. Para llevar a cabo una correcta implementación del marco de gestión del riesgo, este debe ser analizado conjuntamente con el Reglamento Delegado (UE) 2024/1774 indicado anteriormente, en tanto que se centra de manera específica en este dominio.

Identificación, protección y detección: Se tratan de un conjunto de artículos del Reglamento DORA cuyo objetivo se centra en establecer medidas técnicas y organizativas a fin de ser capaces de identificar todas las fuentes de riesgo relacionado con las TIC, garantizar la resiliencia, continuidad y disponibilidad de los sistemas de TIC, y minimizar las repercusiones que se pudieran derivar. Estos mecanismos de protección deben incluir un programa de pruebas de resiliencia operativa digital que forme parte del marco de gestión del riesgo relacionado con las TIC y que incluya, de manera general, la ejecución de las pruebas adecuadas, como evaluaciones y exploraciones de vulnerabilidad, análisis del software de código abierto, evaluaciones de seguridad de la red, análisis de carencias, exámenes de la seguridad física, cuestionarios y soluciones de software de detección, revisiones del código fuente cuando sea posible, pruebas basadas en escenarios, pruebas de compatibilidad, pruebas de rendimiento, pruebas de extremo a extremo y pruebas de penetración. Asimismo, se contempla el deber de llevar a cabo pruebas de penetración basadas en amenazas si la madurez y estructura de la entidad lo requirieran de conformidad con el principio de proporcionalidad.

Formación y comunicación: Las entidades financieras deben desarrollar programas de sensibilización en materia de seguridad de las TIC así como formación sobre resiliencia operativa digital. Dichas acciones formativas deben ser aplicables a la totalidad de empleados, así como al personal de alta dirección. En este sentido, las formaciones impartidas deberán ser acordes con las atribuciones de las funciones y deberán adaptarse de igual manera a los avances tecnológicos. Asimismo, las entidades podrán valorar incluir a los proveedores terceros de servicios de TIC en sus planes de formación. En lo que respecta a la comunicación, cada entidad sujeta al Reglamento DORA deberá disponer de mecanismos de comunicación, incluyendo los planes de comunicación de crisis. Dichos mecanismos abarcarán tanto al personal interno como externo, así como, en su caso, a clientes y contrapartes o al público, partes interesadas externas y medios de prensa.

Gestión de incidentes: El Reglamento DORA, así como distintos reglamentos delegados y de ejecución, establecen diversas obligaciones en materia de gestión de incidentes. El aspecto más relevante incluido es la obligación de notificación a la autoridad competente, a saber CNMV, Banco de España o la DGSFP, en caso de incidentes considerados “graves”. Para llevar a cabo la valoración de los incidentes, el Reglamento Delegado 2024/1772 establece unos umbrales de importancia a tener en cuenta, entre los que se incluye la afectación a clientes y contrapartes, el impacto a la reputación, la duración o el alcance territorial. Asimismo, el Reglamento delegado 2025/301, establece los plazos de notificación en caso de darse un incidente grave:

Envío a la autoridad competente de un informe inicial lo antes posible, pero en cualquier caso, en un plazo de cuatro horas a partir de la clasificación del incidente relacionado con las TIC como grave y a más tardar veinticuatro horas después del momento en que la entidad financiera haya tenido conocimiento de dicho incidente;
Envío de un informe intermedio, a más tardar en un plazo de setenta y dos horas a partir de la presentación de la notificación inicial, incluso cuando la situación o la gestión del incidente no hayan cambiado; las entidades financieras presentarán un informe intermedio actualizado sin demora indebida y, en cualquier caso, cuando se hayan recuperado las actividades regulares;
Envío de un informe final a más tardar un mes después de la presentación del informe intermedio o, cuando proceda, del último informe intermedio actualizado.

Proveedores de servicios de TIC[5]: El Reglamento DORA hace hincapié en la importancia de proteger el ecosistema financiero, para lo cual es necesario abordar los riesgos relacionados con las TIC que se presentan a la hora de incorporar a proveedores terceros de servicios de TIC. Por ello, el Reglamento DORA y, especialmente, el Reglamento Delegado (UE) 2024/1773, establecen las obligaciones a tener en cuenta durante todo el ciclo de vida de la relación contractual.

En este sentido, estos proveedores de servicios de TIC revisten especial importancia cuando las entidades financieras colaboran con proveedores terceros de servicios de TIC para sustentar sus funciones esenciales o importantes, por lo que les son aplicadas obligaciones más restrictivas incluyendo la adopción de acuerdos contractuales que incluyan requisitos específicos a cumplir por parte del proveedor, así como planes de salida fijados contractualmente para minimizar los efectos derivados de la finalización de la relación contractual.

Asimismo, se prevé la obligación de poner a disposición de su autoridad competente cuando lo solicite el registro completo de información con todos los acuerdos contractuales sobre el uso de servicios de TIC prestados por proveedores terceros de servicios de TIC. Este aspecto se procede a detallar de mayor modo en el siguiente apartado.

Registro de información de proveedores de servicios de TIC

Contexto y plazos previstos

De acuerdo con el artículo 28 del Reglamento DORA, las entidades financieras deberán mantener actualizado un registro de información (o RoI, por sus siglas en inglés) en relación con todos los acuerdos contractuales sobre el uso de servicios de TIC prestados por proveedores terceros. Dicho registro debe ser mantenido a nivel entidad, teniendo en cuenta, de igual modo, las relaciones intragrupo. Asimismo, en dicho registro se debe indicar si la prestación de servicios de TIC que lleva a cabo el proveedor sustenta funciones esenciales o importantes de la entidad, de acuerdo con su análisis de impacto al negocio realizado por cada entidad financiera.

Este registro debe ser puesto a disposición de la autoridad competente cuando esta lo solicite, así como, una vez al año indicando los nuevos acuerdos relativos al uso de servicios de TIC, las categorías de proveedores terceros de servicios de TIC, el tipo de acuerdos contractuales y los servicios y funciones prestados en materia de TIC.

Actualmente, las Autoridades competentes nacionales han solicitado a las entidades financieras la puesta a disposición del registro cerrado a 31 de marzo de 2025, teniendo en cuenta las instrucciones descritas en el Reglamento de ejecución (UE) 2024/2956.

Por su lado, las Autoridades competentes españolas (a saber, CNMV, Banco de España, y Dirección General de Seguros y Fondos de Pensiones) disponen hasta el 30 de abril de 2025 para hacer llegar a las Autoridades europeas de supervisión los registros facilitados por las entidades financieras afectadas por la norma. Este plazo forma parte del calendario establecido por las Autoridades europeas de supervisión que culminará a final de 2025 con la publicación y designación de la lista de los proveedores de servicios de TIC considerados críticos (CTPPs por sus siglas en inglés).

Cumplimentación del registro de proveedores de servicios de TIC

El mencionado registro de proveedores de servicios de TIC que deben cumplimentar las entidades financieras incluye una serie de aspectos que se dividen en:

Información de la entidad
Entidad que mantiene el registro de información
Lista de entidades incluidas en el ámbito del registro de información
Listado de sucursales
Acuerdos contractuales – Información general
Acuerdos contractuales – Información específica
Lista de acuerdos contractuales intragrupo
Entidades firmantes de los acuerdos contractuales para recibir servicios de TIC o en nombre de las entidades que utilizan los servicios de TIC
Proveedores terceros de servicios de TIC que firman los acuerdos contractuales para la prestación de servicios de TIC
Entidades firmantes de los acuerdos contractuales para la prestación de servicios de TIC a otras entidades en el marco de la consolidación
Entidades que hacen uso de los servicios de TIC
Proveedores de servicios externos de TIC
Cadenas de suministro de servicios de TIC
Identificación de funciones
Evaluación de los servicios TIC
Definiciones de las Entidades que hacen uso de los Servicios TIC

En este sentido, cada uno de los citados aspectos incluye diversos campos a cumplimentar, siendo necesario revisar si se trata de un listado cerrado de opciones, o, por el contrario, un texto a rellenar. En cualquier caso, es preciso tener en cuenta las instrucciones del Reglamento de ejecución mencionado y la plantilla proporcionada en el mismo, ya que se ha de estar al formato que se indica, así como a la codificación de los códigos EBA que supone cada respuesta. A modo de ejemplo, las fechas habrán de seguir el siguiente formato: aaaa-mm-dd. Asimismo, en caso de cumplimentar el país, España debería ser incorporado con el código: eba_GA:ES. Este tipo de codificaciones, si bien son habituales para algunas entidades, son nuevas para otras entidades sujetas, hasta la fecha, a menos obligaciones de reporte.

Uno de los aspectos más relevantes en el registro de información es el apartado de las funciones esenciales, en la que la entidad financiera debe incluir todas sus funciones, de acuerdo con su organización interna, sustentadas por servicios de TIC prestados por proveedores terceros de servicios de TIC. Entre otros aspectos, dicha pestaña añade como información a cumplimentar la fecha de evaluación, las funciones esenciales, el tiempo objetivo de recuperación (RTO) y el punto objetivo de recuperación (RPO).

Derivado de lo contenido en la pestaña anterior, se debe relacionar dentro del listado completo de proveedores de servicios de TIC, el tipo de servicio que presta, la fecha de inicio de la relación contractual, los costes anuales, cuáles de ellos sustentan funciones esenciales, siendo en ese caso necesario incorporar cierta información adicional como la capacidad de sustituir a dicho proveedor, la realización de auditorías o el plan de salida.

Recomendaciones

Desde el Área de Privacidad, Compliance, Ciberseguridad y Sostenibilidad de Écija Barcelona os recomendamos que, para optimizar el proceso de implementación del Reglamento DORA, se lleve a cabo un análisis de la distinta normativa mencionada, así como de las guías y recomendaciones llevadas a cabo por las Autoridades competentes.

Por un lado, se recomienda que, en caso de no haber comenzado con el proceso de implementación de DORA, se sigan los siguientes pasos:

Analizar la aplicabilidad de DORA en la entidad financiera.
Evaluar si la entidad puede estar sujeta al marco simplificado previsto.
Analizar las circunstancias de la entidad respecto del principio de proporcionalidad
Llevar a cabo un análisis diferencial sobre las medidas aplicables para cumplir con el reglamento DORA y las distintas normativas que lo complementan.
Implementar las medidas técnicas y organizativas, incluyendo la asunción de roles y responsabilidades requeridas por la normativa.
Realizar acciones de seguimiento y mejora continua.

Asimismo, se recomienda poner a disposición de las Autoridades competentes el registro de información en los términos indicados anteriormente, para lo cual, además de la revisión de la documentación mencionada, se recomienda revisar los Dry-Run llevados a cabo por estas, incluyendo los documentos de preguntas frecuentes que se han venido publicando estos últimos meses.

Área de Privacidad, Compliance, Ciberseguridad y Sostenibilidad

Ecija Barcelona

T +34 933 808 255

info@ecijalegal.com

www.ecija.com

^[1] A este respecto, es conveniente tener en cuenta las consideraciones establecidas en los artículos 2 y 3 del Reglamento DORA a la hora de analizar la aplicabilidad con base en la terminología descrita.

[2] La Autoridad Bancaria Europea, ABE o, en inglés, EBA; la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ o, en inglés, EIOPA), y la Autoridad Europea de Valores y Mercados (AEVM o, en inglés, ESMA).

[3] En este apartado se ha prescindido de incluir aquellos reglamentos y directrices que desarrollan marcos de supervisión de las Autoridades Europeas de Supervisión.

[4] 1. Empresas de servicios de inversión pequeñas y no interconectadas, conforme a la definición del Reglamento (UE) 2019/2033 relativo a los requisitos prudenciales de las empresas de servicios de inversión, y por el que se modifican los Reglamentos (UE) nº 1093/2010, (UE) nº 575/2013, (UE) nº 600/2014 y (UE) nº 806/2014. Estas empresas deben cumplir requisitos como un tamaño reducido y la ausencia de interconexión significativa con el resto del sistema financiero.

Entidades de pago y entidades de dinero electrónico exentas, según lo dispuesto en la Directiva 2015/2366 (PSD2), la Directiva 2013/36/UE o la Directiva 2009/110/CE.
Fondos de pensiones de empleo pequeños, que no gestionan volúmenes significativos de recursos ni tienen un impacto relevante en el sistema financiero.

[5] Para más información sobre qué se considera como “servicio de TIC” recomendamos la lectura de los Q&A desarrollados por EIOPA al respecto: https://www.eiopa.europa.eu/qa-regulation/questions-and-answers-database/2999-dora030_en

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el propósito de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se borra cuando todas las ventanas del navegador se cierran.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin de Consentimiento de la Cookie de RGPD y es usada para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__stid	0	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	0	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_ls	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_svref	0	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_ga	0	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y para hacer un seguimiento del uso del sitio para el informe analítico del mismo. Las cookies almacenan información de forma anónima y asignan un número generado al azar para identificar a los visitantes únicos.
_gat	0	1 minute	Estas cookies son instaladas por Google Universal Analytics para reducir la tasa de solicitudes y limitar la recolección de datos en sitios de alto tráfico.
_gid	0	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información de cómo los visitantes utilizan un sitio web y ayuda en la creación de un informe analítico de cómo el sitio web está funcionando. Los datos recogidos incluyen el número de visitantes, la fuente de donde vienen y las páginas visitadas de forma anónima.
ad-id	1	6 months	Proporcionado por amazon-adsystem.com para el seguimiento de las acciones de los usuarios en otros sitios web para proporcionar contenido específico
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0
audience	0	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
demdex	0	5 months	Esta cookie se establece bajo el dominio demdex.net y es utilizada por Adobe Audience Manager para ayudar a identificar un visitante único a través de los dominios.
dextp	0	5 months	Cookie establecida por el gerente de audiencias de Adobe. Las cookies almacenan un nombre o ID de proveedor de datos y una marca de tiempo UTC de UNIX. El propósito de la cookie es registrar la última vez que hizo una llamada de sincronización de datos.
GPS	0	30 minutes	Esta cookie es establecida por Youtube y registra una identificación única para rastrear a los usuarios en base a su ubicación geográfica
idsync-qs	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-uuid	0
lsdStats	0	3 months
pbw	0	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	0	1 year	Cookie para recoger información con fines publicitarios
pid	0	1 year	Ayuda a los usuarios a identificarles y les permite utilizar funciones relacionadas con Twitter de la página web que están visitando.
pxcelPage_c010	0	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_cc	0		Esta cookie es establecida por Adobe Analytics. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.
s_fid	0	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	0	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_nr	0	4 weeks	Esta cookie es establecida por Adobe Analytics con el propósito de almacenar las fechas en que los usuarios visitan el sitio web y si el usuario es un visitante nuevo o recurrente.
s_vnum	0	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	0	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookie	0		Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	0	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	0	2 months
UIDR	0	1 year	Esta cookie se establece bu scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios a través de Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y puede que los datos se envíen a terceros para su análisis e informe, con el fin de ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
YSC	1		Estas cookies son establecidas por Youtube y se usan para rastrear las vistas de los videos incrustados.
zc	0	9 years

Cookie	Duración	Descripción
__stid	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb_svref	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg
audience	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-qs		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
lsdStats	3 months
pbw	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	1 year	Cookie para recoger información con fines publicitarios
pxcelPage_c010	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_fid	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_vnum	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	2 months
zc	9 years

Sala de Prensa

Reglamento DORA y el registro de información de proveedores de servicios de TIC

Ramón Miralles