DORA y VDR: qué cambia para los abogados de M&A

Si gestionas operaciones de M&A o procesos de due diligence en el sector financiero, el 17 de enero de 2025 marcó un cambio de paradigma. Desde esa fecha, el Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), es plenamente aplicable, y con él llegan obligaciones concretas, no solo principios abstractos.

Esta guía responde a una pregunta precisa: ¿qué cambia, en la práctica, para quienes gestionan flujos de documentos reservados durante procesos de due diligence? ¿Y de qué manera una Virtual Data Room (VDR) se convierte en una herramienta de cumplimiento normativo y no solo de organización?

¿Qué es DORA?

DORA es el reglamento europeo que obliga al sector financiero, bancos, aseguradoras, SGR, fondos, entidades de pago, intermediarios y sus proveedores TIC, a gestionar de forma documentada, probada y continua los riesgos relacionados con los sistemas digitales.

No se trata de una recomendación: es una obligación directamente aplicable en los 27 Estados miembros, sin necesidad de transposición nacional (aunque Italia aprobó el Decreto Legislativo de adecuación publicado en la Gazzetta Ufficiale n.º 58 del 11 de marzo de 2025).

El punto clave para los abogados de M&A es el siguiente: DORA también se aplica a los proveedores terceros de servicios TIC que desempeñan funciones críticas para entidades financieras. Esto incluye las plataformas utilizadas para compartir documentos confidenciales durante los procesos de due diligence.

Quién está sujeto a DORA: la lista completa

El artículo 2 del Reglamento identifica más de veinte tipos de sujetos destinatarios. Entre los más relevantes para el mundo de M&A y legal se encuentran:

• entidades de crédito (bancos);

• entidades de pago y de dinero electrónico;

• empresas de inversión;

• gestores de fondos de inversión alternativos (FIA) y OICVM;

• empresas de seguros y reaseguros;

• agencias de calificación crediticia;

• proveedores de servicios de criptoactivos;

• auditores legales y sociedades de auditoría;
  

• proveedores terceros TIC que prestan servicios críticos a cualquiera de las entidades mencionadas.

Si tu despacho de abogados o tu cliente pertenece a alguna de estas categorías, o si utilizas herramientas digitales para gestionar sus procesos de due diligence, DORA te afecta directamente.

Los cinco pilares de DORA: qué cambia operativamente

Pilar I. Gestión del riesgo TIC con responsabilidad al más alto nivel

DORA redefine la gobernanza de forma radical: la responsabilidad por la gestión del riesgo TIC no es delegable. El órgano de administración debe “definir, aprobar, supervisar y responder” de todas las estrategias relacionadas con el riesgo tecnológico. En la práctica, el CFO o el CRO ya no pueden limitarse a delegar la cuestión en el departamento IT: deben demostrar una supervisión activa.

Para quienes gestionan una DD, esto significa que las plataformas de intercambio documental utilizadas deben ser evaluadas, seleccionadas y monitorizadas dentro de este marco de gobernanza.

Pilar II. Gestión de incidentes TIC

El nuevo Reglamento Europeo introduce plazos precisos en relación con la gestión y notificación de incidentes:

• notificación inicial a la autoridad competente en un plazo de 4 horas desde la clasificación del incidente como “grave”;
  

• informe intermedio en un plazo de 72 horas;
  

• informe final en el plazo de un mes.

Para los abogados de M&A, esto significa que cualquier violación de datos ocurrida en plataformas utilizadas durante una due diligence puede activar obligaciones de notificación regulatoria para la entidad financiera cliente. La VDR debe ser capaz de producir logs de auditoría detallados e inmediatamente consultables.

Pilar III. Pruebas de resiliencia operativa digital

Las entidades financieras deben realizar pruebas periódicas de sus sistemas TIC, incluidos tests de penetración (TLPT, Threat-Led Penetration Testing) para las entidades más significativas.

Para los proveedores de servicios digitales utilizados en las DD, esto implica la necesidad de demostrar que sus infraestructuras están sometidas a verificaciones de seguridad documentadas.

Pilar IV. Gestión del riesgo de terceros proveedores TIC

DORA impone a las entidades financieras la obligación de:

• realizar una due diligence rigurosa sobre cada proveedor TIC antes del onboarding;
  

• mantener un registro actualizado de todos los acuerdos contractuales con proveedores TIC;
  

• negociar contratos que incluyan cláusulas específicas sobre auditoría, resiliencia y estrategias de salida;
  

• aplicar cláusulas “flow-down” cuando el proveedor recurre a subcontratistas (por ejemplo, un proveedor cloud que delega el disaster recovery);
  

• comunicar anualmente a las autoridades el número de nuevos contratos TIC celebrados.
  

Pilar V. Intercambio de información sobre amenazas

DORA establece un marco, de carácter voluntario, para el intercambio de información de cyber threat intelligence entre entidades financieras. Para las DD, esto es menos relevante de forma directa, pero implica que las plataformas utilizadas deben permitir la extracción y el intercambio de logs de seguridad en formatos estandarizados.

El papel de la VDR en el cumplimiento de DORA

Una Virtual Data Room se convierte en una infraestructura crítica para la gestión documental dentro del marco de cumplimiento TIC. Por eso, elegir la VDR adecuada no es un simple detalle operativo.

Qué debe garantizar una VDR para ser compatible con DORA

• Audit trail completo y verificable: cada acceso, descarga, impresión y modificación debe quedar trazado con timestamp RFC 3161 y hash SHA-256 para garantizar la integridad forense del registro.
  

• Marca de agua dinámica: los documentos deben incluir la identidad del visualizador, haciendo rastreable cualquier filtración.
  

• Permisos granulares por carpeta y documento: la gestión de accesos debe estar documentada y poder revocarse en tiempo real.
  

• Exportación certificada (Deal Binder): al final del proceso de DD, el paquete documental debe poder exportarse en un formato verificable offline, con un manifiesto de integridad.
  

• Cumplimiento del RGPD: el tratamiento de los datos personales contenidos en los documentos debe respetar el Reglamento (UE) 2016/679, con posibilidad de exportación, supresión y gestión de consentimientos.
  

• Infraestructura con SLA certificados: disponibilidad garantizada, centros de datos en la UE y cifrado end-to-end.

Sanciones: por qué el cumplimiento no es opcional

El régimen sancionador de DORA, detallado en el Decreto Legislativo italiano de adecuación (marzo de 2025), distingue entre:

• infracciones graves (gobernanza, gestión de proveedores críticos, falta de notificación de incidentes): sanción de hasta el 10% del volumen de negocio anual total de la entidad;
  

• infracciones menos graves (incumplimientos operativos, retrasos en notificaciones no críticas): sanción de hasta el 7% del volumen de negocio anual;
  

• proveedores TIC “críticos” designados por la Comisión Europea: sanción periódica de hasta el 1% del volumen medio diario de negocio mundial por cada día de incumplimiento.
  

Para las sociedades de auditoría incluidas en el ámbito de aplicación, la falta de cumplimiento puede incluso implicar la exclusión del mercado. No se trata de riesgos teóricos: las autoridades supervisoras europeas (EBA, EIOPA, ESMA) ya han iniciado sus actividades de supervisión.

El Digital Operational Resilience Act no es un trámite burocrático destinado únicamente a los departamentos de compliance de los bancos. Es un marco operativo que rediseña la forma en que los profesionales legales y financieros deben abordar la gestión documental en operaciones extraordinarias.

La elección de la Virtual Data Room, la estructura de los contratos con proveedores TIC y la capacidad de producir pruebas verificables forman ahora parte de la diligencia profesional exigida.

SimpleVDR fue diseñado teniendo en cuenta estos requisitos: audit trail certificable, marca de agua defendible, exportación verificable offline y cumplimiento RGPD nativo. Herramientas simples para obligaciones complejas.