Glosario Regulatorio

El grado en que las actividades económicas de una empresa cumplen los criterios técnicos de selección del Reglamento de Taxonomía de la UE, cualificándolas como inversiones medioambientalmente sostenibles.

El proceso obligatorio de aprobación regulatoria bajo el Reglamento de Mercados de Criptoactivos que los emisores de tokens referenciados a activos y tokens de dinero electrónico, así como los proveedores de servicios de criptoactivos, deben completar antes de operar en la UE.

El proceso continuo mediante el cual las organizaciones garantizan el cumplimiento de todas las leyes, reglamentos, directrices y especificaciones aplicables a sus operaciones comerciales, particularmente en el contexto de los marcos regulatorios de la UE.

El conjunto de derechos que el RGPD otorga a las personas físicas (interesados) respecto a sus datos personales, incluyendo los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición.

El principio de la CSRD que exige a las empresas informar tanto sobre cómo los asuntos de sostenibilidad afectan a la empresa (materialidad financiera) como sobre el impacto de la empresa en las personas y el medio ambiente (materialidad de impacto).

El marco de clasificación de emisiones de gases de efecto invernadero: el Alcance 1 abarca las emisiones directas de fuentes propias, el Alcance 2 las emisiones indirectas de la energía adquirida, y el Alcance 3 todas las demás emisiones indirectas a lo largo de la cadena de valor.

Una persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable, actuando únicamente según las instrucciones documentadas de este.

Una organización que opera en un sector crítico según la Directiva NIS2 (energía, transporte, banca, salud, agua, infraestructura digital, gestión de servicios TIC, administración pública o espacio) y que está sujeta a las obligaciones de ciberseguridad más estrictas y a una supervisión proactiva.

Una organización de los sectores cubiertos por la Directiva NIS2 (como servicios postales, gestión de residuos, productos químicos, alimentación, manufactura, proveedores digitales o investigación) que debe cumplir obligaciones de ciberseguridad, pero está sujeta a una supervisión más ligera y ex post.

El proceso mediante el cual un proveedor de un sistema de IA de alto riesgo verifica y demuestra que el sistema cumple todos los requisitos aplicables del Reglamento Europeo de IA antes de su comercialización.

Una evaluación sistemática exigida por el Artículo 35 del RGPD cuando el tratamiento de datos pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas, también referenciada por el Reglamento Europeo de IA para sistemas de IA de alto riesgo que involucren datos personales.

El marco de DORA que exige a las entidades financieras gestionar los riesgos derivados de su dependencia de proveedores terceros de servicios TIC, incluyendo requisitos contractuales, vigilancia del riesgo de concentración y un marco de supervisión para proveedores críticos.

El marco de políticas, procedimientos y controles que las entidades financieras y las entidades esenciales/importantes deben implementar para identificar, proteger, detectar, responder y recuperarse de los riesgos relacionados con las TIC.

La divulgación de información medioambiental, social y de gobernanza por parte de las empresas, exigida por la CSRD a través de las Normas Europeas de Información sobre Sostenibilidad (ESRS) para las empresas de la UE y de fuera de la UE dentro de su ámbito de aplicación.

El principio jurídico por el cual una regulación más específica prevalece sobre una más general, de relevancia crítica para resolver solapamientos entre marcos normativos de la UE como DORA, NIS2 y el RGPD.

Un modelo de IA de propósito general entrenado a gran escala con datos amplios, capaz de adaptarse a una variedad de tareas posteriores. El Reglamento Europeo de IA los regula bajo el marco de modelos de IA de propósito general (GPAI).

La obligación impuesta por DORA y NIS2 a las entidades reguladas de detectar, clasificar y notificar a las autoridades competentes los incidentes significativos de ciberseguridad y relacionados con las TIC dentro de los plazos establecidos.

El requisito del Artículo 4 del Reglamento Europeo de IA que obliga a proveedores y responsables del despliegue a garantizar que su personal y demás personas involucradas posean un nivel suficiente de alfabetización en IA, considerando el contexto y el público destinatario.

Toda persona jurídica o empresa cuya ocupación o actividad profesional consiste en la prestación de uno o más servicios de criptoactivos a clientes de forma profesional, según la definición y regulación del Reglamento de Mercados de Criptoactivos (MiCA).

Pruebas avanzadas de ciberseguridad exigidas por DORA en las que las entidades financieras simulan escenarios de ataque reales basados en inteligencia de amenazas actual para evaluar la resiliencia de sus sistemas y procesos TIC críticos.

La capacidad de una entidad financiera de construir, asegurar y revisar su integridad y fiabilidad operativa, garantizando toda la gama de capacidades relacionadas con las TIC necesarias para hacer frente a la seguridad de sus redes y sistemas de información.

La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o conjuntamente con otros, determina los fines y medios del tratamiento de datos personales conforme al RGPD.

Un sistema basado en máquinas diseñado para operar con distintos niveles de autonomía y que puede mostrar capacidad de adaptación tras su despliegue, generando resultados como predicciones, recomendaciones, decisiones o contenido.

Un sistema de IA que plantea riesgos significativos para la salud, la seguridad o los derechos fundamentales, y que está sujeto a requisitos estrictos en virtud del Reglamento Europeo de IA, como evaluaciones de conformidad, supervisión humana y obligaciones de documentación.

La transferencia de datos personales desde el EEE a un tercer país u organización internacional, que en virtud del RGPD requiere garantías específicas como decisiones de adecuación, cláusulas contractuales tipo o normas corporativas vinculantes.