Convergencia de DORA y RGPD

Gestione el cumplimiento de DORA y del RGPD en una sola plataforma, sin duplicar el trabajo entre entidades

Actualizado 2026-06-23
Puntos clave: Priverion es una plataforma alojada en Suiza que unifica la gestión del riesgo de TIC de DORA y el cumplimiento de la privacidad del RGPD para organizaciones financieras multisociedad.

Las entidades financieras deben cumplir los mandatos de riesgo de TIC de DORA y las obligaciones de privacidad del RGPD, a menudo en decenas de entidades y jurisdicciones. Priverion ofrece a su equipo de privacidad una única plataforma para gestionar ambos, sin duplicar el trabajo ni perder las pistas de auditoría.

Reserve una demostración centrada en DORA

"A los seis meses de implantar Priverion, la recertificación del registro de tratamientos estaba totalmente automatizada. Por fin tengo tiempo para el trabajo estratégico de privacidad en lugar de mantener hojas de cálculo."

Delegado de protección de datos, Aircraft manufacturer

Reducción del 60 % del tiempo de administración de cumplimiento, primeros 6 meses

DORA (Reglamento (UE) 2022/2554) introduce requisitos de gestión del riesgo de TIC, notificación de incidentes, supervisión de terceros y pruebas de resiliencia que se entrecruzan directamente con los programas de privacidad existentes. Ahora se espera que los equipos de privacidad de la banca, los seguros y los servicios financieros demuestren cómo sus EIPD, sus evaluaciones de proveedores y sus procesos de respuesta ante brechas se alinean con DORA, además de todo lo que ya gestionan en el marco del RGPD. La cuestión no es si estos requisitos se solapan. Es si sus herramientas pueden gestionar ese solapamiento sin generar caos operativo.

Infraestructura alojada en Suiza La confianza de equipos de privacidad que gestionan más de 50 entidades Seguridad de nivel empresarial
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Cómo lo resuelve Priverion

Una sola plataforma para los requisitos de privacidad del cumplimiento de DORA, en cada entidad

Cada capacidad que se indica a continuación se corresponde directamente con un problema que su equipo ya está gestionando. La diferencia: deja de hacer malabares con sistemas paralelos y empieza a ejecutar un único flujo de trabajo auditable.

Flujos de respuesta ante incidentes unificados

Gestione la clasificación de incidentes de TIC de DORA y las notificaciones de brechas del RGPD desde un único registro de incidentes. Priverion identifica automáticamente cuándo un incidente de TIC desencadena obligaciones de notificación de brechas de datos personales, dirige las notificaciones a las autoridades correctas por entidad y jurisdicción y mantiene una pista de auditoría completa, de modo que su equipo nunca tenga que volver a conciliar dos procesos paralelos.

Reducción del 60 % del tiempo de coordinación de la respuesta ante incidentes

En comparación con la gestión de los flujos de incidentes de DORA y del RGPD en sistemas paralelos

Evaluaciones integradas de riesgo de terceros y de privacidad

Realice la diligencia debida de los terceros proveedores de TIC que exige DORA junto con las evaluaciones de impacto de las transferencias y las revisiones de subencargados en un solo flujo de trabajo. Vincule los registros de proveedores directamente a las actividades de tratamiento de su registro de tratamientos para que nada se pierda cuando los reguladores soliciten pruebas de una supervisión coordinada en ambos marcos.

Cobertura del 100 % en la evaluación de riesgos de proveedores

Un proveedor sanitario alcanzó una cobertura total de proveedores con el flujo de evaluación unificado de Priverion

Plantillas de EIPD prealineadas con los escenarios de DORA

Priverion incluye plantillas de EIPD asistidas por IA que tienen en cuenta las actividades de tratamiento específicas de DORA: pruebas de resiliencia, pruebas de penetración basadas en amenazas con arreglo al artículo 26, gestión de cambios de TIC y mapeo de funciones críticas. Su equipo no tiene que crearlas desde cero, y cada borrador generado por IA lo revisa una persona antes de convertirse en un registro de cumplimiento.

Ponga en marcha EIPD alineadas con DORA en horas, no en semanas

Redacción asistida por IA con supervisión humana, sin usar datos de clientes para entrenar modelos

Recertificación automatizada del registro de tratamientos en todas las entidades del grupo

DORA no cambia sus obligaciones del registro de tratamientos; las amplía. Las nuevas actividades de tratamiento relacionadas con la gestión del riesgo de TIC, el registro de incidentes y la supervisión de terceros deben quedar todas documentadas. Los flujos de recertificación automatizada de Priverion envían las actualizaciones a cada entidad relevante de forma simultánea, eliminando la persecución entre áreas de negocio.

Tasa de recertificación del registro de tratamientos del 100 %, totalmente automatizada

Una aseguradora suiza alcanzó la recertificación automatizada completa con Priverion

Informes y documentación adaptados a cada jurisdicción

Genere documentación de cumplimiento de DORA e informes de privacidad adaptados a la autoridad nacional competente y a la autoridad de protección de datos de cada entidad. Priverion asigna los requisitos normativos por jurisdicción para que su equipo elabore el informe adecuado para el regulador adecuado, siempre, sin tener que seguir manualmente las distintas transposiciones nacionales.

Reducción del 40 % del tiempo de preparación de informes

En comparación con la generación manual de informes específicos por jurisdicción en grupos multisociedad

Soberanía de datos suiza. Integrada, no añadida

Cada dato de cumplimiento de DORA y de privacidad —registros de incidentes, evaluaciones de proveedores, EIPD, registros de tratamientos— se mantiene dentro de infraestructura suiza. En un mundo posterior a Schrems II en el que los reguladores financieros examinan las dependencias de los proveedores de nube, el alojamiento en Suiza no es una casilla de marketing. Es la base jurídica para la confianza en las transferencias transfronterizas de datos.

Residencia de datos europea garantizada

Todo el tratamiento de datos dentro de infraestructura suiza. Desarrollado y alojado en Suiza

Reserve una demostración centrada en DORA Explore las funciones de DORA en su panel

200+

Horas ahorradas en la gestión del registro de tratamientos

Una empresa de tecnología médica redirigió más de 200 horas del seguimiento manual del registro de tratamientos a la preparación de ISO 27001 en su primer año con Priverion

60%

Coste total inferior frente a OneTrust

Según comparativas de precios publicadas para organizaciones de la mediana empresa que gestionan más de 10 entidades con una cobertura de módulos equivalente

92%

Índice de satisfacción de clientes

Según una encuesta a clientes, primer trimestre de 2025, entre organizaciones que gestionan programas de privacidad multisociedad

Priverion vs. OneTrust

Gestión de privacidad de nivel empresarial sin el dolor de cabeza empresarial

Las organizaciones de la mediana empresa necesitan profundidad de cumplimiento, no un exceso de funciones. He aquí por qué los equipos de privacidad que gestionan varias entidades en distintas jurisdicciones europeas están dando el paso.

La experiencia OneTrust

Precios que penalizan el crecimiento

Los precios por usuario y por módulo hacen que los costes se disparen a medida que incorpora filiales. ¿Añadir cinco usuarios a una nueva entidad? Eso es otra negociación de una partida adicional.

Infraestructura alojada en EE. UU.

Los datos procesados en infraestructura estadounidense siguen sujetos a la jurisdicción de EE. UU. En un mundo posterior a Schrems II, eso crea un riesgo de transferencia que su equipo jurídico tiene que documentar y defender.

Creado para la lista Fortune 500

Cientos de funciones que abarcan GRC, ESG, ética y consentimiento de cookies. Potente, pero los equipos de la mediana empresa describen implementaciones que duran meses y funciones que nunca usarán.

Más de 200 integraciones superficiales

Una larga lista de integraciones queda bien en una matriz comparativa. Pero los conectores que muestran datos parciales o requieren mantenimiento constante crean más trabajo, no menos.

Puesta en marcha compleja

Plazos de implementación empresarial medidos en meses, con jefes de proyecto dedicados y presupuestos de servicios profesionales por encima de la tarifa de licencia.

La experiencia Priverion

Precios predecibles y todo incluido

Precio según el número de empresas y el tamaño de la organización, no por usuario ni por módulo. Añada tantos usuarios como necesite en cada filial sin renegociar su contrato.

Desarrollado y alojado en Suiza

Todo el tratamiento de datos se realiza dentro de infraestructura suiza, una de las pocas jurisdicciones con una decisión de adecuación de la UE. La residencia de datos europea no es una casilla; es nuestra arquitectura.

Diseñado específicamente para la privacidad multisociedad

Cada función existe para resolver la gestión del programa de privacidad en todo el grupo: registro de tratamientos, EIPD, riesgo de proveedores, solicitudes de los interesados, flujos de respuesta ante brechas y mapeo de datos entre entidades, nada superfluo.

Integraciones profundas donde importa

Conexiones significativas con los sistemas de RR. HH., compras y gestión de activos de TI, los flujos de trabajo que realmente impulsan el cumplimiento de la privacidad. Menos conectores, datos más ricos.

Operativo en semanas

Aircraft manufacturer pasó de la firma del contrato a la recertificación automatizada del registro de tratamientos en varias filiales. Sin una implementación de seis meses. Sin sorpresas de servicios profesionales.

Según la implantación de Aircraft manufacturer, reducción del 60 % del tiempo de administración de cumplimiento en los primeros 6 meses

Para ser transparentes: no cubrimos ESG, líneas éticas ni consentimiento de cookies. Si necesita eso, OneTrust es una opción sólida. Si necesita una gestión enfocada del programa de privacidad multisociedad con residencia de datos europea, eso es exactamente lo que hemos creado.

Lo que dicen los profesionales

Resultados de equipos de privacidad como el suyo

"Pasábamos la mayor parte de nuestro tiempo de administración de cumplimiento persiguiendo a las áreas de negocio en varias filiales para actualizar el registro de tratamientos. A los seis meses de implantar Priverion, la recertificación estaba totalmente automatizada. Por fin tengo tiempo para el trabajo estratégico de privacidad en lugar de mantener hojas de cálculo."

Delegado de protección de datos en un fabricante de aeronaves

Reducción del 60 % del tiempo de administración de cumplimiento, primeros 6 meses

"Los paquetes de evidencia listos para auditoría de Priverion nos ahorraron más de 200 horas de trabajo de preparación. Aceleramos nuestra certificación ISO 27001 en tres meses, y la calidad de la documentación era mejor que la que producíamos manualmente."

Responsable de cumplimiento en una empresa de tecnología médica

Más de 200 horas ahorradas en la preparación de ISO 27001

"Antes de Priverion, teníamos lagunas en nuestras evaluaciones de riesgo de proveedores; sencillamente no teníamos capacidad para cubrir a cada tercero. Ahora tenemos una cobertura del 100 % con un flujo de trabajo unificado que gestiona tanto los requisitos de privacidad como los de riesgo de TIC."

Responsable de privacidad en un proveedor sanitario

Cobertura del 100 % en la evaluación de riesgos de proveedores alcanzada

Guía gratuita

DORA se cruza con el RGPD: los requisitos de privacidad que su entidad financiera no puede ignorar

DORA introdujo obligaciones de riesgo de TIC que se solapan con —y a veces entran en conflicto con— los marcos de privacidad existentes. Esta guía mapea cada intersección para que su DPD y su CISO no dupliquen el trabajo ni dejen lagunas.

Qué contiene:

  • Un mapeo cláusula a cláusula de los artículos 5 a 15 de DORA frente a los requisitos del RGPD, que muestra dónde se solapan las obligaciones, dónde divergen y dónde se esconden las lagunas
  • Los requisitos de gestión del riesgo de terceros de TIC en el marco de DORA y cómo cambian sus evaluaciones de privacidad de proveedores y sus obligaciones de cláusulas contractuales tipo (CCT)
  • Los plazos de notificación de incidentes comparados lado a lado: la notificación inicial de 4 horas de DORA frente a la ventana de 72 horas del RGPD, y cómo construir un único flujo de trabajo que satisfaga ambos
  • Una lista de comprobación práctica para la implementación en todo el grupo, en varias entidades y jurisdicciones, basada en programas reales de cumplimiento multisociedad

PDF gratuito. No se requiere demostración. Se lo enviamos a su bandeja de entrada.

Preguntas frecuentes

Cumplimiento de privacidad de DORA: preguntas habituales

¿Sustituye DORA al RGPD para las entidades financieras?

No. DORA y el RGPD son normativas complementarias con ámbitos distintos. DORA se centra en la gestión del riesgo de TIC y la resiliencia operativa digital de las entidades financieras, mientras que el RGPD rige la protección de los datos personales. Las entidades financieras deben cumplir ambas de forma simultánea. El reto es que muchos requisitos de DORA —en particular en torno a la notificación de incidentes, la gestión del riesgo de terceros y la seguridad de la información— se solapan directamente con las obligaciones del RGPD. Priverion le ayuda a gestionar ambos conjuntos de requisitos en un único flujo de trabajo para que evite duplicaciones y lagunas.

¿Cómo interactúa el plazo de notificación de incidentes de DORA con la notificación de brechas de 72 horas del RGPD?

DORA exige una notificación inicial del incidente de TIC en un plazo de 4 horas desde su clasificación, con informes intermedios y finales posteriores. El RGPD exige la notificación a la autoridad de control en un plazo de 72 horas desde que se tiene conocimiento de una brecha de datos personales. Cuando un incidente de TIC también afecta a datos personales, ambos plazos corren en paralelo, y debe notificar a autoridades distintas con información distinta. El flujo de incidentes unificado de Priverion identifica automáticamente cuándo un incidente de TIC desencadena obligaciones de brecha del RGPD y dirige las notificaciones correctas a cada autoridad por entidad y jurisdicción.

¿Puede Priverion gestionar el cumplimiento de DORA para organizaciones con más de 50 entidades?

Sí. Priverion está creado específicamente para la gestión del programa de privacidad en todo el grupo, en varias entidades y jurisdicciones. Damos servicio a organizaciones con más de 50 entidades, ofreciendo mapeo de datos entre entidades, recertificación automatizada del registro de tratamientos en todas las filiales e informes adaptados a cada jurisdicción. El precio se basa en el número de empresas y el tamaño de la organización, no por usuario, de modo que escalar entre entidades no provoca sorpresas de costes.

¿Cómo ayuda el alojamiento en Suiza al cumplimiento de DORA y del RGPD?

Suiza cuenta con una decisión de adecuación de la UE, lo que significa que las transferencias de datos a Suiza se tratan como equivalentes a las transferencias dentro de la UE en virtud del RGPD. Para las entidades financieras sujetas a los requisitos de DORA en torno al riesgo de terceros de TIC —incluido el examen de las dependencias de los proveedores de nube y la residencia de datos—, la infraestructura alojada en Suiza ofrece una base jurídicamente defendible. Todos los datos de cumplimiento de Priverion se mantienen dentro de infraestructura suiza, eliminando el riesgo de transferencia transfronteriza que conllevan las alternativas alojadas en EE. UU.

¿Usa Priverion IA para el cumplimiento de DORA? ¿Es segura?

Priverion utiliza capacidades asistidas por IA para la redacción de EIPD, la puntuación de riesgos y el mapeo normativo, incluidos los escenarios específicos de DORA. Todos los resultados de la IA los revisa una persona antes de convertirse en registros de cumplimiento. Ningún dato de cliente se usa para entrenar modelos. Todo el tratamiento de datos se realiza dentro de infraestructura suiza. La IA ayuda en la toma de decisiones de su equipo; nunca la sustituye.

¿Qué no cubre Priverion?

Nos centramos exclusivamente en la gestión del programa de privacidad. No cubrimos los informes ESG, las líneas éticas ni la gestión del consentimiento de cookies. Tampoco estamos creados para organizaciones de una sola entidad: nuestra fortaleza es la gestión de todo el grupo, en varias filiales y jurisdicciones. Si necesita una plataforma de GRC amplia que lo cubra todo, OneTrust o herramientas similares pueden encajar mejor. Si necesita un cumplimiento de privacidad multisociedad enfocado y con residencia de datos europea, eso es exactamente lo que hemos creado.

Su equipo de cumplimiento merece mejores herramientas

Deje de gestionar el solapamiento entre DORA y el RGPD en hojas de cálculo. Empiece a gestionarlo en 30 minutos.

Vea cómo organizaciones como Aircraft manufacturer redujeron el tiempo de administración de cumplimiento en un 60 % en sus primeros seis meses, con recertificación automatizada del registro de tratamientos, EIPD asistidas por IA y visibilidad en todo el grupo en cada filial y jurisdicción.

Desarrollado en Suiza. Alojado en Suiza. Precios predecibles sin trampas por usuario. Un solo recorrido basta para ver la diferencia.

Reserve una demostración centrada en DORA

Sin compromiso. Sin discurso comercial, solo una visión guiada de cómo Priverion gestiona la privacidad multisociedad para que decida si encaja con su programa.

The Privacy Compliance Briefing

Análisis mensuales sobre la aplicación del RGPD, las novedades de la LPD suiza y las estrategias de automatización para DPD y equipos de cumplimiento.

Sin spam. Cancele la suscripción cuando quiera.

Acerca de esta página — referencias, definiciones y preguntas frecuentes

Puntos clave — Requisitos de privacidad del cumplimiento de DORA

Las entidades financieras de toda la UE deben cumplir de forma simultánea tanto DORA (Reglamento (UE) 2022/2554) como el RGPD. Ambos marcos comparten un solapamiento significativo en la notificación de incidentes, la gestión del riesgo de terceros y las evaluaciones de impacto. Priverion es una plataforma de GRC alojada en Suiza, creada específicamente para organizaciones multisociedad que necesitan gestionar tanto los mandatos de resiliencia de TIC de DORA como las obligaciones de privacidad del RGPD desde un único flujo de trabajo auditable, eliminando el trabajo duplicado entre filiales y jurisdicciones.

¿Qué es DORA (Reglamento de Resiliencia Operativa Digital)?

DORA —el Reglamento de Resiliencia Operativa Digital— es el Reglamento (UE) 2022/2554, que establece un marco integral de gestión del riesgo de TIC para las entidades financieras de la UE. Abarca la gobernanza del riesgo de TIC, la clasificación y notificación de incidentes, las pruebas de resiliencia operativa digital (incluidas las pruebas de penetración basadas en amenazas), la supervisión de los terceros proveedores de servicios de TIC y los acuerdos de intercambio de información. DORA es aplicable desde el 17 de enero de 2025.

¿Qué es una EIPD en el marco del RGPD?

Una evaluación de impacto relativa a la protección de datos (EIPD) es obligatoria en virtud del artículo 35 del RGPD siempre que el tratamiento "pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas". Muchas actividades exigidas por DORA —como las pruebas de penetración basadas en amenazas con arreglo al artículo 26 y el mapeo de funciones críticas— implican un tratamiento de datos personales que activa este umbral.

¿Qué es la obligación del registro de tratamientos?

El registro de actividades de tratamiento (ROPA) está exigido por el artículo 30 del RGPD. Los responsables y los encargados del tratamiento deben mantener un registro escrito de todas las actividades de tratamiento. DORA amplía el alcance de las actividades de tratamiento que deben documentarse, incluidos los registros de gestión del riesgo de TIC, los registros de incidentes y las actividades de supervisión de terceros.

Estadísticas: el panorama del cumplimiento de DORA y del RGPD

Según el informe ENISA Threat Landscape 2024, el sector financiero representó aproximadamente el 9 % de todos los incidentes cibernéticos notificados en la UE, lo que subraya la necesidad de una gestión unificada de los incidentes de TIC y de privacidad. El IAPP-EY 2023 Privacy Governance Report concluyó que el 60 % de las organizaciones todavía gestiona el cumplimiento de la privacidad mediante hojas de cálculo o procesos manuales, lo que genera un riesgo considerable de lagunas cuando marcos solapados como DORA y el RGPD deben abordarse de forma simultánea. El Comité Europeo de Protección de Datos señaló en sus Directrices 01/2021 sobre ejemplos de notificación de brechas de datos que los incidentes de TIC en los servicios financieros suelen afectar a datos personales, lo que exige una notificación coordinada en los plazos tanto de DORA como del RGPD.

¿Cómo se solapa la notificación de incidentes de DORA con la notificación de brechas del RGPD?

DORA exige a las entidades financieras clasificar y notificar los incidentes graves relacionados con las TIC a su autoridad nacional competente con arreglo a un calendario estructurado. Cuando el mismo incidente afecta a datos personales, el artículo 33 del RGPD exige la notificación a la autoridad de control en un plazo de 72 horas. Las organizaciones deben mantener un único registro de incidentes que satisfaga ambos marcos para evitar plazos contradictorios y notificaciones duplicadas. El flujo de incidentes unificado de Priverion identifica automáticamente cuándo un incidente de TIC desencadena obligaciones de brecha de datos personales y dirige las notificaciones en consecuencia.

¿Quién debe cumplir DORA?

DORA se aplica a las entidades de crédito, las empresas de inversión, las empresas de seguros y reaseguros, las entidades de pago, las entidades de dinero electrónico, los depositarios centrales de valores, los proveedores de servicios de criptoactivos y sus terceros proveedores críticos de servicios de TIC. El alcance completo se define en el artículo 2 del Reglamento (UE) 2022/2554. Prácticamente todas las entidades financieras reguladas de la UE están dentro del ámbito de aplicación.

¿Por qué es relevante el alojamiento en Suiza para el cumplimiento de DORA y del RGPD?

Suiza se beneficia de una decisión de adecuación de la UE (Decisión 2000/518/CE), lo que significa que las transferencias de datos personales de la UE a Suiza no requieren salvaguardias adicionales como las cláusulas contractuales tipo. En el entorno posterior a Schrems II, en el que el TJUE invalidó el Escudo de Privacidad UE-EE. UU., la infraestructura alojada en Suiza ofrece una base jurídicamente sólida para la residencia de datos europea, especialmente importante para las entidades financieras cuyos reguladores examinan las dependencias de los proveedores de nube.

¿Cuál es la relación entre la supervisión de terceros de DORA y la gestión de encargados del RGPD?

El capítulo V de DORA establece un marco integral para la gestión de los terceros proveedores de servicios de TIC, incluida la evaluación de riesgos, los requisitos contractuales y un marco de supervisión a escala de la UE para los proveedores críticos. El artículo 28 del RGPD impone obligaciones paralelas a los encargados del tratamiento, incluida la gestión de subencargados y los derechos de auditoría. Las organizaciones que gestionan estas evaluaciones en sistemas separados corren el riesgo de tener registros de proveedores incoherentes y lagunas de auditoría. Priverion vincula los registros de riesgo de proveedores directamente a las actividades de tratamiento del registro de tratamientos, garantizando una supervisión coordinada en ambos marcos.

DORA vs. RGPD — Comparativa del solapamiento de requisitos

Área de cumplimientoRequisito de DORARequisito del RGPDSolapamiento
Notificación de incidentesNotificar los incidentes graves de TIC a la autoridad competente (art. 19)Notificar a la autoridad de control en un plazo de 72 horas tras una brecha de datos personales (art. 33)Alto: los incidentes de TIC suelen afectar a datos personales
Supervisión de tercerosMarco de gestión del riesgo de terceros de TIC (capítulo V)Diligencia debida de los encargados y salvaguardias contractuales (art. 28)Alto: los mismos proveedores se evalúan en ambos marcos
Evaluaciones de impactoPruebas de resiliencia, pruebas de penetración basadas en amenazas (art. 26)EIPD para el tratamiento de alto riesgo (art. 35)Medio: las actividades de prueba de DORA pueden activar una EIPD
Conservación de registrosDocumentación de la gestión del riesgo de TIC (art. 6)Registro de actividades de tratamiento (art. 30)Medio: DORA amplía las actividades de tratamiento que deben documentarse
GobernanzaResponsabilidad del órgano de dirección por el riesgo de TIC (art. 5)Principio de responsabilidad proactiva del responsable (art. 5.2)Alto: responsabilidad a nivel de consejo en ambos casos
Coordinación transfronterizaNotificación a la autoridad nacional competente por entidadAutoridad de control principal + notificaciones a las autoridades locales de protección de datosAlto: los grupos multisociedad afrontan notificaciones paralelas

¿Exige DORA una evaluación de impacto relativa a la protección de datos?

DORA no exige explícitamente las EIPD. Sin embargo, muchas actividades de tratamiento exigidas por DORA —incluidas las pruebas de penetración basadas en amenazas con arreglo al artículo 26, la gestión de cambios de TIC y el mapeo de funciones críticas— implican el tratamiento de datos personales de formas que probablemente entrañen un alto riesgo para las personas. En virtud del artículo 35 del RGPD, esto activa una EIPD obligatoria. Priverion incluye plantillas de EIPD asistidas por IA prealineadas con estos escenarios específicos de DORA.

¿Cómo se aplican las sanciones de DORA?

La aplicación de DORA corre a cargo de las autoridades nacionales competentes (por ejemplo, la BaFin en Alemania, la ACPR en Francia, organismos equivalentes a la FINMA). Las sanciones varían según el Estado miembro, pero pueden incluir multas administrativas, amonestaciones públicas y órdenes de cese de actividades no conformes. Para los terceros proveedores críticos de TIC, el supervisor principal a escala de la UE (una de las Autoridades Europeas de Supervisión) puede imponer multas coercitivas periódicas de hasta el 1 % del volumen de negocios medio diario a escala mundial, tal como se especifica en el artículo 35, apartado 8, de DORA.