Normativa de Protección de Datos y Resiliencia Digital en el Comercio Electrónico y el Rol de la CNMV

En la era digital, el comercio electrónico se ha consolidado como un pilar fundamental de la economía, pero su crecimiento exponencial ha traído consigo la necesidad imperante de salvaguardar la privacidad y seguridad de los datos. La normativa de protección de datos en el ámbito del comercio electrónico es obligatoria y su cumplimiento recae en la persona a cargo de la tienda online.

El Marco General de Protección de Datos para el E-commerce

El Reglamento General de Protección de Datos (RGPD), Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, es la piedra angular de la protección de datos personales y su libre circulación. Este reglamento es de obligado cumplimiento para las tiendas online, complementándose con la Ley General para la Defensa de los Consumidores y Usuarios (LGDCU).

Las tiendas online deben proporcionar información clara sobre la identidad del vendedor, las características esenciales de los productos o servicios, los precios totales, los gastos adicionales y las condiciones de entrega. Cualquier envío de comunicaciones comerciales por correo electrónico o mensajería electrónica requiere el consentimiento previo del usuario.

Además, los productos digitales, imágenes, descripciones y contenidos utilizados en la web deben respetar los derechos de autor y las marcas registradas. La normativa exige implementar medidas técnicas y organizativas adecuadas para proteger los datos personales frente a accesos no autorizados, pérdidas o filtraciones. En Forlopd, ayudamos a adaptar las condiciones y textos legales de los ecommerce a las normativas vigentes para que cuenten con la garantía de no incurrir en ninguna sanción de la Agencia Española de Protección de Datos.

La CNMV y la Resiliencia Operativa Digital: El Reglamento DORA

La alta dependencia de las entidades financieras en la tecnología y en proveedores de servicios requiere de un importante esfuerzo para lograr la madurez suficiente en el ámbito de la resiliencia operativa. La Comisión Nacional del Mercado de Valores (CNMV) juega un papel crucial en este aspecto.

El Reglamento sobre la Resiliencia Operativa Digital del Sector Financiero (DORA), Reglamento 2022/2554, de aplicación a partir del 17 de enero de 2025, es una normativa clave en este contexto. Este reglamento tiene como objetivo reforzar y armonizar a nivel europeo los principales requerimientos en materia de ciberseguridad para las entidades financieras y sus proveedores de servicios TIC. Dada la gran dependencia del sector financiero de la tecnología para realizar sus funciones críticas de negocio y, cada vez más, su dependencia de servicios tecnológicos de terceras partes, el objetivo de DORA es fortalecer la capacidad de resiliencia del sector frente a amenazas a sus activos TIC. El reglamento incorpora mecanismos de aplicación de criterios de proporcionalidad, teniendo en cuenta el tamaño y perfil de riesgo general, así como la naturaleza, escala y complejidad de los servicios, actividades y operaciones de cada entidad.

DORA se articula en torno a cinco pilares fundamentales:

• Gestión del riesgo relacionado con las TIC: Incluye los requisitos de gestión, clasificación y notificación de incidentes.
• Gestión, clasificación y notificación de incidentes relacionados con las TIC: Define cómo las entidades deben manejar y reportar los incidentes de ciberseguridad.
• Pruebas de resiliencia operativa digital: Exige la realización de pruebas de penetración basadas en amenazas.
• Gestión del riesgo relacionado con las TIC derivado de terceros: Regula los acuerdos con proveedores de servicios TIC.
• Acuerdos de intercambio de información: Fomenta la colaboración en materia de ciberseguridad.

Para profundizar en estos pilares, se han emitido diversos desarrollos normativos de nivel 2 y 3 por las ESAS (Autoridades Europeas de Supervisión), incluyendo:

• Reglamento Delegado (UE) 2025/1190 de la Comisión sobre las pruebas de penetración basadas en amenazas (18/06/2025).
• Reglamento Delegado (UE) 2024/1773 de la Comisión sobre la política sobre acuerdos con proveedores de servicios TIC (25/06/2024).
• Reglamento de ejecución (UE) 2024/2956 de la Comisión sobre las plantillas normalizadas para el registro de información (02/12/2024).
• Reglamento Delegado (UE) 2025/532 de la Comisión sobre la subcontratación de servicios TIC (02/07/2025).

Además, DORA establece un marco de supervisión para los proveedores de servicios TIC esenciales, con directrices conjuntas sobre la cooperación y el intercambio de información entre las AES y las autoridades competentes (06/11/2024), y reglamentos sobre criterios de designación, tasas de supervisión, condiciones de las actividades de supervisión y la composición de los equipos conjuntos de examinadores.

Infografía: Los 5 Pilares Fundamentales del Reglamento DORA para la Resiliencia Operativa Digital.

El documento que acompaña a DORA responde a 74 cuestiones relacionadas con el propio reglamento y la implementación de buenas prácticas y estándares de ciberseguridad. Recoge, adicionalmente, recomendaciones, expectativas, aspectos normativos destacables y referencias a materiales de apoyo de carácter más técnico que pueden resultar de ayuda en la implementación de DORA.

Código de Buen Gobierno de la Ciberseguridad

El Código de buen gobierno de la ciberseguridad (13.07.2023) se incorpora en la web a efectos informativos, aunque la CNMV no es competente para la supervisión del mismo.

El Marco TIBER-ES para la Ciberresiliencia

TIBER-EU constituye el primer marco común a escala europea para la realización de pruebas de red-teaming, recogiendo el modo en que las autoridades, las entidades y los proveedores de servicios de ciberseguridad deben trabajar juntos para alcanzar el objetivo de estas pruebas. Estas pruebas tienen como objetivo anticipar, en la medida de lo posible, el impacto que una entidad sufriría en caso de enfrentarse a un ciberataque real. Para ello, en este tipo de pruebas avanzadas de ciberseguridad se simula un ciberataque empleando tácticas, técnicas y procedimientos como los que utilizaría un ciberatacante sofisticado. Constituyen, por tanto, un instrumento muy poderoso para mejorar la ciberresiliencia de las entidades financieras.

TIBER-ES suscribe los principios de TIBER-EU y tiene como objetivo fortalecer la ciberresiliencia del sector financiero español, garantizando el reconocimiento de las autoridades en otras jurisdicciones que también han adoptado localmente este marco. La CNMV monitorizará las pruebas, a través del TCT (TIBER Cyber Team), cuando las entidades financieras que las lleven a cabo sean de su ámbito de supervisión. La Guía para la implementación del marco operativo TIBER-ES proporciona las pautas necesarias para su aplicación.

Esquema: Funcionamiento del marco TIBER-ES para la mejora de la ciberresiliencia.

Política de Protección de Datos de Carácter Personal de la CNMV

En cumplimiento de la normativa vigente sobre protección de datos de carácter personal, y más concretamente, del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679), la Comisión Nacional del Mercado de Valores informa sobre su Política de Protección de Datos de carácter personal. Se recomienda a los titulares de los datos personales, y en su condición de interesados, que lean esta información atentamente en cada ocasión que accedan a su sitio web para que conozcan todos los aspectos relacionados con el tratamiento de los datos personales que podrán facilitar a través del sitio web www.cnmv.es, así como a través de cualquier otro medio o formulario dispuesto para ello.

Esta Política de Protección de Datos supone el cumplimiento por la Comisión Nacional del Mercado de Valores de su obligación de informar al interesado, de acuerdo con el principio de transparencia, acerca de las circunstancias y condiciones del tratamiento que efectúa sobre los datos de carácter personal que el interesado facilita, así como de los derechos que le asisten.

Responsable del tratamiento de los datos personales

El responsable del tratamiento de los datos facilitados es la Comisión Nacional del Mercado de Valores, con CIF Q-2891005-G, Calle Edison nº 4, 28006 Madrid, y teléfono 915851500.

Finalidad del tratamiento de los datos personales

La finalidad del tratamiento de los datos corresponde a cada una de las actividades de tratamiento que realiza la Comisión Nacional del Mercado de Valores para cumplir con las obligaciones legalmente establecidas que le atañen, así como la tramitación y gestión de solicitudes, reclamaciones, quejas, consultas, procesos de selección de personal, suscripción a programas de educación, a noticias, publicaciones, convocatorias, normativa, relaciones con proveedores, e informes estadísticos respecto de los hábitos de acceso y la actividad desarrollada por los interesados en el sitio web de la Comisión Nacional del Mercado de Valores.

Legitimación

El tratamiento de los datos de interesados de carácter personal se realiza para el cumplimiento de obligaciones legales por parte de la Comisión Nacional del Mercado de Valores, para el cumplimiento de misiones realizadas en interés público o en el ejercicio de poderes públicos conferidos a la misma, así como cuando la finalidad del tratamiento requiera su consentimiento, que habrá de ser prestado mediante una clara acción afirmativa.

Confidencialidad

Los datos de carácter personal que se pudieran recabar directamente del interesado serán tratados de forma confidencial y quedarán incorporados a la correspondiente actividad de tratamiento titularidad de la Comisión Nacional del Mercado de Valores, adoptando al efecto las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de sus datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos.

Obligatoriedad de facilitar los datos

Salvo que en los formularios del sitio web se disponga lo contrario, los datos solicitados en los citados formularios son de cumplimentación obligatoria y los estrictamente necesarios para cumplir con las finalidades establecidas en dichos formularios. Por consiguiente, la negativa a su cumplimentación o su cumplimentación incorrecta implica que no podrán atenderse las finalidades perseguidas por dichos formularios y solicitados por el interesado.

Conservación de datos

Los datos personales proporcionados se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recaban y para determinar las posibles responsabilidades que se pudieran derivar de la finalidad, además de los períodos establecidos en la normativa de archivos y documentación.

Comunicación de datos

Con carácter general no se comunicarán los datos personales a terceros, salvo que exista una obligación legal, entre las que pueden estar las comunicaciones a autoridades administrativas o judiciales, al Ministerio Fiscal, a la Autoridad Europea de Valores y Mercados (ESMA), a otros reguladores y supervisores, a las Comisiones Parlamentarias de Investigación y al Fondo de Garantía de Inversores. Los datos personales únicamente podrán ser puestos en conocimiento de empresas que prestan servicios a la Comisión Nacional del Mercado de Valores en virtud de los contratos de encargo suscritos para el mantenimiento y el correcto funcionamiento de los servicios y actividades. En caso de que los destinatarios indicados en el presente apartado puedan encontrarse ubicados fuera del Espacio Económico Europeo, las transferencias internacionales de datos estarán debidamente legitimadas.

Derechos de los interesados

El interesado, de acuerdo a la normativa de protección de datos y con los requisitos, efectos y límites fijados en la misma, podrá ejercer los siguientes derechos ante la Comisión Nacional del Mercado de Valores:

• Obtener confirmación sobre los tratamientos de sus datos que se llevan a cabo.
• Acceder a sus datos personales.
• Rectificar aquellos datos que considere inexactos o incompletos.
• Solicitar que sus datos sean suprimidos cuando su obtención y tratamiento se base en el consentimiento del interesado. La Comisión Nacional del Mercado de Valores no podrá dar curso a las solicitudes de supresión de datos cuando éstos hayan sido obtenidos y tratados en cumplimiento de una obligación legal o de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos a la Comisión Nacional del Mercado de Valores.
• Retirar el consentimiento previamente otorgado. Cuando el tratamiento de los datos del interesado por parte de la Comisión Nacional del Mercado de Valores esté basado en el consentimiento prestado, el interesado podrá retirar su consentimiento en cualquier momento, sin que ello pueda afectar a la licitud de los tratamientos efectuados con anterioridad.

Acuerdos sobre ficheros de datos personales en la CNMV

La CNMV ha establecido diversos acuerdos para la creación y gestión de ficheros de datos de carácter personal, que reflejan su compromiso con la protección de la información manejada. Algunos de estos incluyen:

• Acuerdo de 7 de octubre de 2009, del Consejo de la Comisión Nacional del Mercado de Valores, por el que se crea un fichero de datos de carácter personal.
• Acuerdo de 7 de octubre de 2009, del Consejo de la Comisión Nacional del Mercado de Valores, por el que se complementa la de 18 de marzo de 2009, por el que se crea un fichero de datos de carácter personal.
• Acuerdo de 30 de enero de 2013, del Consejo de la Comisión Nacional del Mercado de Valores, por el que se crea un fichero de datos de carácter personal.
• Acuerdo de 20 de diciembre de 2017, del Consejo de la Comisión Nacional del Mercado de Valores, por el que se crea un fichero de datos de carácter personal.

Regulación Específica Relevante

La protección de datos y la transparencia en el comercio electrónico se apoyan en un amplio espectro normativo que abarca sistemas de pagos y normativas bancarias, cruciales para las transacciones online.

Sistemas de Pagos

Diversas leyes y reales decretos regulan los servicios de pago, la transparencia y la protección al cliente, afectando directamente a las operaciones de comercio electrónico:

• Orden ECE/1263/2019, de 26 de diciembre: Sobre transparencia de las condiciones y requisitos de información aplicables a los servicios de pago y por la que se modifica la Orden ECO/734/2004, de 11 de marzo, sobre los departamentos y servicios de atención al cliente y el defensor del cliente de las entidades financieras, y la Orden EHA/2899/2011, de 28 de octubre, de transparencia y protección del cliente de servicios bancarios.
• Real Decreto 736/2019, de 20 de diciembre: De régimen jurídico de los servicios de pago y de las entidades de pago.
• Circular 2/2019, de 29 de marzo, del Banco de España: Sobre los requisitos del Documento Informativo de las Comisiones y del Estado de Comisiones, y los sitios web de comparación de cuentas de pago, y que modifica la Circular 5/2012, de 27 de junio, a entidades de crédito y proveedores de servicios de pago, sobre transparencia de los servicios bancarios y responsabilidad en la concesión de préstamos.
• Real Decreto-ley 19/2018, de 23 de noviembre: De servicios de pago y otras medidas urgentes en materia financiera.
• Ley 21/2011, de 26 de julio: De dinero electrónico.
• Orden EHA/1608/2010, de 14 de junio: Sobre transparencia de las condiciones y requisitos de información aplicables a los servicios de pago.

Normativa Bancaria y de Protección al Cliente

Aunque el comercio electrónico no es la actividad principal de la CNMV, muchas regulaciones bancarias influyen en la protección del consumidor y la seguridad financiera en transacciones online, especialmente las relacionadas con la transparencia y la gestión de quejas:

• Circular 4/2020, de 26 de junio, del Banco de España: Sobre publicidad de los productos y servicios bancarios.
• Real Decreto-ley 24/2021, de 2 de noviembre: De transposición de directivas de la Unión Europea en las materias de bonos garantizados, distribución transfronteriza de organismos de inversión colectiva, datos abiertos y reutilización de la información del sector público, ejercicio de derechos de autor y derechos afines aplicables a determinadas transmisiones en línea y a las retransmisiones de programas de radio y televisión, exenciones temporales a determinadas importaciones y suministros, de personas consumidoras y para la promoción de vehículos de transporte por carretera limpios y energéticamente eficientes.
• Resolución de 27 de abril de 2020, de la Comisión Ejecutiva del Banco de España: Sobre la continuación del procedimiento aplicable en la presentación de reclamaciones y quejas cuya tramitación y resolución sea competencia del Banco de España.

Tabla de Normativa Clave en Protección de Datos y Comercio Electrónico

Infografía: Claves para un comercio electrónico seguro y conforme a la normativa.