Agencia Estatal Boletín Oficial del Estado

(1)

La honorabilidad de la alta dirección y de los miembros del consejo de administración de un verificador externo es de vital importancia para garantizar que el verificador externo cumpla sus obligaciones normativas. La evaluación de la honorabilidad debe basarse en información sobre las actividades anteriores de dichas personas, en particular información sobre posibles condenas penales pertinentes, conductas indebidas cometidas en el pasado, negligencia grave, gestión deficiente de conflictos de intereses o menoscabo de la independencia y la objetividad, e información sobre su honestidad, integridad y reputación.

(2)

Dado que la alta dirección y los miembros del consejo de administración son responsables de las actividades del verificador externo, deben poseer capacidades, cualificaciones profesionales y experiencia suficientes. Una evaluación de si esas capacidades, cualificaciones profesionales y experiencia son suficientes debe tener en cuenta el curriculum vitae de todos los miembros de la alta dirección y del consejo de administración, incluida información actualizada sobre la educación, la formación y el historial laboral. La evaluación también debe tener en cuenta la composición general y la diversidad de la alta dirección y del consejo de administración, así como las capacidades colectivas, las cualificaciones profesionales y la experiencia de sus miembros, según sea pertinente para las actividades del verificador externo y los riesgos a los que esté expuesto.

(3)

Para salvaguardar la continuidad y periodicidad de las verificaciones externas, los verificadores externos deben emplear a un número adecuado de analistas, empleados y personas que participen directamente en las actividades de evaluación. A este respecto, debe tenerse en cuenta la información sobre la dotación de personal de un verificador externo en lo que respecta a analistas, empleados y personas que participan directamente en las actividades de evaluación. Dicha información debe incluir el número de contratos indefinidos y temporales, las probables actividades de evaluación futuras y las razones por las que el verificador externo considera que los recursos analíticos son suficientes.

(4)

Para garantizar la calidad de las revisiones externas, los analistas, empleados y otras personas que participen directamente en las actividades de evaluación deben poseer un nivel adecuado de conocimientos, experiencia y formación. La evaluación debe tener en cuenta la educación, la formación y el historial laboral de dichas personas. Además, los verificadores externos deben establecer planes de formación y desarrollo para todos los empleados que participen directamente en las actividades de evaluación.

(5)

Para garantizar que las estructuras de toma de decisiones proporcionen una gestión sana y prudente del verificador externo, los verificadores externos deberán contar con mecanismos de gobernanza corporativa que especifiquen la organización, el ámbito de acción, la finalidad y el funcionamiento de sus órganos de gobierno, como el consejo de administración, el órgano de supervisión y los comités pertinentes.

(6)

El mantenimiento de una estructura organizativa transparente y eficaz es también un componente clave de una gestión adecuada y prudente. Para garantizar la transparencia y la eficacia de su estructura organizativa, los verificadores externos deben contar con líneas de notificación, responsabilidades y canales de comunicación claros que favorezcan la rendición de cuentas y la toma de decisiones. Por la misma razón, los verificadores externos deben aplicar y documentar adecuadamente políticas y procedimientos adecuados en lo que respecta a sus estructuras de gobernanza, sus controles internos, la continuidad de las actividades, los sistemas de tratamiento de la información, el mantenimiento de registros, la administración y la contabilidad.

(7)

Dada la importancia de las funciones de control interno para la gestión sana y prudente de un verificador externo, estos deben establecer un marco de control interno que garantice que las personas responsables de desempeñar dicha función estén debidamente capacitadas y que exista una clara segregación de las líneas de actividad que supervisan.

(8)

A fin de garantizar una gestión sana y prudente del cumplimiento de sus obligaciones en virtud del Reglamento (UE) 2023/2361, los verificadores externos deben velar por que las políticas y los procedimientos necesarios para cumplir dicho Reglamento sean aprobados por su consejo de administración.

(9)

El marco de gestión de conflictos de intereses de un verificador externo debe contener una política global en materia de conflictos de intereses aprobada por el consejo de administración y un inventario de los conflictos de intereses. La política en materia de conflictos de intereses debe contener procedimientos de gestión de riesgos y controles para detectar, eliminar o gestionar y comunicar de manera transparente los conflictos de intereses reales o potenciales. Dicha política también debe determinar los conflictos de intereses que el verificador externo considera que deben gestionarse o comunicarse de manera transparente y cuáles deben eliminarse. Además, debe prever una supervisión y una gestión adecuadas de las situaciones en las que el juicio profesional o la toma de decisiones puedan verse comprometidos.

(10)

Los verificadores externos deben evaluar si los proveedores terceros de servicios tienen la capacidad de llevar a cabo actividades de evaluación de manera fiable y profesional. A este respecto, los verificadores externos deben considerar si los conocimientos especializados y la disponibilidad del proveedor tercero de servicios son adecuados para las actividades externalizadas. A tal fin, los verificadores externos deben tener en cuenta elementos clave relacionados con el proveedor tercero de servicios y el acuerdo de externalización, como su modelo de negocio, las cualificaciones de su personal, el marco de control, el uso de la automatización y la tecnología en las actividades de evaluación externalizadas y su conformidad con la normativa.

(11)

Los verificadores externos deben garantizar que la externalización de las actividades de evaluación no perjudique de manera significativa a la calidad de su control interno. A este respecto, los verificadores externos deben evaluar su grado de dependencia del proveedor tercero de servicios y deben supervisar y controlar las actividades que aborden los riesgos derivados de la externalización, en particular con respecto a terceros países. Los verificadores externos deben aplicar controles internos para garantizar la existencia de disposiciones adecuadas en relación con la calidad del servicio prestado por el proveedor tercero de servicios. Los verificadores externos deben establecer prácticas adecuadas en relación con la documentación y el mantenimiento de registros por parte de los proveedores terceros de servicios. Esto debe garantizar que los verificadores externos y la Autoridad Europea de Valores y Mercados (AEVM) tengan acceso a toda la información necesaria y que la externalización de las actividades de evaluación no afecte a la capacidad de la AEVM para supervisar el cumplimiento del Reglamento (UE) 2023/2631 por parte del verificador externo.

(12)

Para garantizar un grado suficiente de supervisión de las actividades externalizadas, los verificadores externos deberán llevar a cabo evaluaciones periódicas.

(13)

Las normas técnicas de regulación que deben adoptarse sobre la base de las facultades establecidas en el artículo 23, apartado 6, párrafo tercero, el artículo 27, apartado 2, párrafo tercero, el artículo 28, apartado 3, párrafo tercero, y el artículo 33, apartado 7, párrafo tercero, del Reglamento (UE) 2023/2631 deben agruparse en un único Reglamento Delegado de la Comisión para garantizar que todas las disposiciones que especifican el registro de verificadores externos se consoliden en un único Reglamento.

(14)

La información presentada a la AEVM podrá contener información sobre la identidad de la alta dirección y de los miembros del consejo de administración de un verificador externo solicitante, así como de los analistas, empleados y otras personas que participen directamente en las actividades de evaluación de su idoneidad. Dicha información incluye datos personales. De conformidad con el principio de minimización de datos consagrado en el artículo 4, apartado 1, letra c), del Reglamento (UE) 2018/1725 del Parlamento Europeo y Consejo (2), solo deben solicitarse los datos personales que sean necesarios para que la AEVM pueda evaluar la capacidad de la alta dirección, los miembros del consejo de administración de un verificador externo solicitante, así como de los analistas, los empleados y otras personas que participen directamente en las actividades de evaluación, para cumplir los requisitos establecidos en el Reglamento (UE) 2023/2631.

(15)

El presente Reglamento respeta los derechos fundamentales y los principios reconocidos por la Carta de los Derechos Fundamentales de la Unión Europea, y especialmente el derecho a la protección de los datos personales. El tratamiento de datos personales a efectos del presente Reglamento debe llevarse a cabo de conformidad con el Derecho de la Unión en materia de protección de datos personales. Por lo tanto, toda operación de tratamiento de datos personales realizada por la AEVM en aplicación del presente Reglamento debe llevarse a cabo de conformidad con el Reglamento (UE) 2018/1725. Toda operación de tratamiento de datos personales realizada por entidades que soliciten un verificador externo en aplicación del presente Reglamento debe llevarse a cabo de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3) y con los requisitos nacionales relativos a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

(16)

Para que la AEVM pueda llevar a cabo la evaluación a efectos del registro y la supervisión permanente, garantizando al mismo tiempo las salvaguardias adecuadas, los verificadores externos y la AEVM deben conservar los datos personales relativos a la honorabilidad de la alta dirección y de los miembros del consejo de administración de un verificador externo durante un período no superior a cinco años a partir del momento en que dicho miembro haya cesado en sus funciones o en caso de cancelación de la inscripción del verificador externo de que se trate.

(17)

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 7 de julio de 2025.

(18)

El presente Reglamento se basa en los proyectos de normas técnicas de ejecución presentados por la AEVM a la Comisión.

(19)

La AEVM ha llevado a cabo consultas públicas abiertas sobre los proyectos de normas técnicas de regulación en que se basa el presente Reglamento, ha analizado los costes y beneficios potenciales conexos y ha recabado el asesoramiento del Grupo de Partes Interesadas del Sector de los Valores y Mercados establecido de conformidad con el artículo 37 del Reglamento (UE) n.o 1095/2010 del Parlamento Europeo y del Consejo (4).

a)

prueba de la ausencia de antecedentes penales en relación con el blanqueo de capitales, la financiación del terrorismo, la prestación de servicios financieros o de datos o actos de fraude o malversación, en particular mediante un certificado oficial o, en caso de que dicho certificado no esté disponible en el Estado miembro de que se trate, una autodeclaración de honorabilidad y la autorización a la AEVM para solicitar información a las autoridades pertinentes sobre si dicho miembro ha sido declarado culpable de algún delito penal en relación con el blanqueo de capitales, la financiación del terrorismo, la prestación de servicios financieros o servicios de datos o en relación con actos de fraude o malversación;

b)

una autodeclaración de cada uno de los miembros de la alta dirección y del consejo de administración de si dicho miembro:

c)

el verificador externo solicitante velará por que únicamente las personas responsables de la solicitud tengan acceso a la información a que se refiere el apartado 2, letra a). Dicha información se almacenará por separado de otra información relativa a la alta dirección y a los miembros del consejo de administración de un verificador externo. Se mantendrán registros del acceso a dicha información. Dicha información no se almacenará cuando se refiera a candidatos a miembros de la alta dirección y a los miembros del consejo de administración de un verificador externo solicitante que no hayan sido nombrados;

d)

la AEVM velará por que solamente las personas responsables de la evaluación de la idoneidad de la alta dirección y los miembros del consejo de administración de un verificador externo solicitante tengan acceso a la información a que se refiere el apartado 2, letra a). Dicha información se almacenará por separado de otra información relativa a la alta dirección y a los miembros del consejo de administración de un verificador externo. Se mantendrán registros del acceso a dicha información. Dicha información no se almacenará cuando se refiera a candidatos a miembros de la alta dirección y a los miembros del consejo de administración de un verificador externo solicitante que no hayan sido nombrados;

e)

los verificadores externos y la AEVM conservarán los datos personales relativos a la honorabilidad de la alta dirección y de los miembros del consejo de administración de un verificador externo durante el tiempo que sea necesario para la evaluación del registro inicial y la supervisión continua, según proceda, y durante un período no superior a cinco años una vez que dicho miembro haya cesado en sus funciones, o en caso de cancelación de la inscripción del verificador externo de que se trate.

a)

un curriculum vitae actualizado de cada uno de los miembros de la alta dirección y del consejo de administración de un verificador externo en el que se exponga la información detallada pertinente para las tareas exigidas a los verificadores externos en virtud del Reglamento (UE) 2023/2631, en particular:

b)

la pertinencia de los conocimientos obtenidos a través de la educación y la formación para los servicios financieros o relacionados con la sostenibilidad para la actividad de los verificadores externos;

c)

la pertinencia de la experiencia profesional adquirida en actividades relacionadas con las tareas que debe realizar el verificador externo, como el aseguramiento de la calidad, el control de calidad, la realización de verificaciones previas y posteriores a la emisión y verificaciones de informes de impacto, y la emisión de segundas opiniones sobre la conformidad o servicios financieros;

d)

las capacidades colectivas y actualizadas, las cualificaciones profesionales y la experiencia de la alta dirección y de los miembros del consejo de administración pertinentes para las tareas exigidas a los verificadores externos con arreglo al Reglamento (UE) 2023/2631 y los riesgos conexos.

a)

el número total de analistas, empleados y otras personas que participan directamente en las actividades de evaluación, su antigüedad, la descripción de sus puestos de trabajo, la naturaleza indefinida o temporal de sus contratos de trabajo y las razones por las que el verificador externo considera que el número y las funciones son adecuados;

b)

el número y la duración previstos de las verificaciones externas que se realizarán en los próximos veinticuatro meses, y las razones por las que el verificador externo considera que el número de empleados y otras personas que participan directamente en las actividades de evaluación es proporcional al número y la duración de las futuras verificaciones externas.

a)

el tipo de actividades de evaluación que se espera que realicen las personas que participan directamente en las actividades de evaluación en los veinticuatro meses siguientes;

b)

el historial laboral de las personas a que se refiere la letra a), incluida la naturaleza y la duración de los servicios prestados en los puestos anteriores y las responsabilidades ejercidas;

c)

la experiencia de las personas a que se refiere la letra a) que esté relacionada con el aseguramiento de la calidad, el control de calidad, la realización de verificaciones previas y posteriores a la emisión y verificaciones de informes de impacto, y la emisión de segundas opiniones sobre la conformidad o servicios financieros;

d)

la formación académica de las personas a que se refiere la letra a) y las certificaciones o cualificaciones profesionales pertinentes obtenidas;

e)

otros logros profesionales y académicos de las personas a que se refiere la letra a) que sean pertinentes para la naturaleza de sus funciones;

f)

el plan de formación y desarrollo de las personas a que se refiere la letra a);

g)

cuando proceda, el uso de tecnología de automatización en las actividades de evaluación.

a)

los mecanismos de gobierno corporativo especifican al menos la organización, el ámbito de acción, la finalidad y el funcionamiento de los órganos de gobierno del verificador externo, incluidas unas líneas de notificación, unas responsabilidades de las funciones y unos canales de comunicación claros;

b)

existe un marco de control interno;

c)

las disposiciones organizativas garantizan la continuidad y periodicidad de la realización de las actividades de evaluación, salvaguardando la confidencialidad y la seguridad de los registros de los servicios prestados, procedimientos administrativos y contables sólidos y sistemas de tratamiento de la información adecuados;

d)

se protege el anonimato de los denunciantes de irregularidades y se prohíben las represalias;

e)

las operaciones con partes vinculadas, la gestión de cuentas personales de los empleados, las actividades comerciales externas y la aceptación de regalos y muestras de hospitalidad se revisan de forma coherente;

f)

se garantiza la independencia de los empleados sujetos a acuerdos de retribución variable;

g)

el consejo de administración del verificador externo adopta políticas y procedimientos de conformidad con el presente Reglamento.

a)

los mecanismos de control interno se adaptan a la naturaleza, dimensión y complejidad del verificador externo;

b)

las personas responsables de los controles internos pueden obtener la información necesaria para desempeñar su función y comunicar sus conclusiones al consejo de administración del verificador externo;

c)

las funciones de control interno son independientes y están claramente separadas de las líneas de actividad que llevan a cabo las actividades de evaluación.

a)

existe una política de conflictos de intereses;

b)

existe un proceso de cumplimiento eficaz que es adecuado para supervisar la aplicación de la política en materia de conflictos de intereses, incluida la supervisión del consejo de administración;

c)

existen procedimientos de formación y sensibilización sobre el contenido de la política en materia de conflictos de intereses para la alta dirección, los miembros del consejo de administración, los analistas, los empleados y cualquier otra persona física cuyos servicios se pongan a disposición o estén bajo el control del verificador externo, incluso antes de que dichas personas asuman sus funciones por primera vez;

d)

se mantiene un inventario de los conflictos de intereses reales o potenciales pertinentes para el verificador externo, incluidas las medidas de mitigación propuestas;

e)

existen procedimientos de gestión de riesgos y controles de prevención y detección con respecto a la identificación, eliminación, gestión y comunicación de conflictos de intereses;

f)

se detectan los conflictos de intereses que deban eliminarse o gestionarse y comunicarse de manera transparente;

g)

se garantiza la independencia de los analistas, empleados y otras personas que participan directamente en las actividades de evaluación.

a)

el proveedor tercero de servicios posee conocimientos especializados en los temas a que se refieren las actividades externalizadas;

b)

el proveedor tercero de servicios está disponible para realizar las actividades externalizadas mientras dure la externalización prevista;

c)

el proveedor tercero de servicios cuenta con un marco de control interno para garantizar la adecuada ejecución de las actividades externalizadas.

a)

el modelo de negocio, los servicios ofrecidos, la propiedad, la estructura del grupo y la condición de entidad regulada o supervisada;

b)

las cualificaciones del personal que participa en las actividades de evaluación externalizadas;

c)

las políticas y los procedimientos establecidos para la realización de las actividades externalizadas, incluido el uso de información y datos exactos y fiables;

d)

los controles y las actividades de seguimiento existentes para garantizar la aplicación eficaz de las políticas y los procedimientos para la ejecución de las actividades externalizadas;

e)

cuando proceda, el uso de tecnología de automatización en las actividades de evaluación;

f)

los requisitos jurídicos y normativos aplicables a las actividades del proveedor tercero de servicios.

a)

el número y el tipo de actividades de evaluación que se prevé externalizar no dan lugar a una dependencia excesiva del proveedor tercero de servicios;

b)

existen salvaguardias para gestionar los riesgos que conlleva la externalización, incluidos los riesgos de dependencia para la prestación de las actividades de evaluación externalizadas;

c)

existen disposiciones para garantizar la continuidad del servicio, entre ellas, planes de contingencia y pruebas periódicas de las instalaciones de respaldo;

d)

existen disposiciones para garantizar la seguridad de los datos y los sistemas, incluido cualquier uso de tecnologías en la nube;

e)

existen salvaguardias para garantizar que el verificador externo sea capaz de supervisar y llevar a cabo un seguimiento de las actividades de evaluación externalizadas;

f)

cuando el proveedor tercero de servicios esté autorizado contractualmente a externalizar la realización de las actividades de evaluación, dichas actividades cumplen los criterios establecidos en las letras a) a e).

a)

se mantiene un nivel adecuado de documentación y mantenimiento de registros de todos los nombres y cargos de las personas responsables de aprobar y supervisar la externalización;

b)

el proveedor tercero de servicios es capaz de proporcionar al verificador externo toda la información necesaria relativa a las actividades de evaluación externalizadas que exija el verificador externo para demostrar el cumplimiento del Reglamento (UE) 2023/2631 por parte del verificador externo;

c)

cuando las actividades de evaluación se subcontraten a un proveedor tercero de servicios de un tercer país, el verificador externo y el proveedor tercero de servicios disponen de procedimientos que garantizan la gestión de los riesgos derivados de: