Tiempo de lectura 8 minutos
El reglamento DORA, oficialmente el Reglamento (UE) 2022/2554 sobre resiliencia operativa digital, entró en aplicación el 17 de enero de 2025 con un mandato claro: las entidades financieras y todos sus proveedores tecnológicos relevantes deben poder demostrar que operan bajo estándares de seguridad, trazabilidad y control auditables.
Lo que muchos despachos y entidades financieras todavía no han procesado es que ese perímetro incluye a sus proveedores de traducción.
Qué es el reglamento DORA y a quién afecta
DORA es la normativa europea que armoniza los requisitos de resiliencia operativa digital para el sector financiero.
Se aplica a bancos, aseguradoras, gestoras de fondos, empresas de inversión, plataformas de negociación y, de forma crítica, a todos los proveedores de servicios TIC que les den soporte, desde grandes infraestructuras cloud hasta proveedores más especializados que, hasta ahora, nadie consideraba parte del mapa de riesgo tecnológico.
La normativa DORA no prohíbe la externalización de servicios. Lo que establece es que cualquier proveedor externo que acceda, procese o gestione información en el contexto de una función relevante debe ser gobernado: identificado, auditado, contractualizado y supervisado.
Por qué los servicios de traducción entran en el perímetro DORA
La pregunta que muchos responsables de cumplimiento se están haciendo, tarde, es la siguiente: ¿qué ocurre cuando la información sensible de un cliente financiero sale hacia un proveedor lingüístico?
La respuesta, bajo el marco de la normativa DORA, es incómoda si ese proveedor no opera bajo las condiciones adecuadas.
Cuando un despacho como Uría Menéndez, un banco o una aseguradora encarga la traducción de un contrato de financiación, un informe regulatorio o una due diligence, está transfiriendo información altamente sensible a un tercero.
Si ese tercero usa plataformas de traducción automática públicas, ChatGPT, DeepL en versión estándar, Google Translate, el contenido puede quedar retenido, indexado o incorporado al entrenamiento de modelos externos. Sin contrato de procesamiento. Sin trazabilidad. Sin control.
Eso no es solo un problema de privacidad: bajo DORA es un riesgo TIC de terceros no gobernado.
Los riesgos concretos que el reglamento DORA pone sobre la mesa
El reglamento DORA identifica la gestión de riesgos de terceros como uno de sus cinco pilares fundamentales. Para los proveedores de traducción, los puntos de fallo más frecuentes son los siguientes.
Uso de herramientas no controladas. La mayoría de proveedores lingüísticos tradicionales utilizan herramientas de traducción automática en sus flujos de trabajo sin que el cliente sepa cuáles son, bajo qué condiciones operan ni qué ocurre con los datos procesados. Plataformas públicas sin versión enterprise carecen de las garantías contractuales que DORA exige a los proveedores de servicios TIC.
Falta de trazabilidad. DORA requiere que las entidades financieras puedan demostrar quién accedió a qué información, cuándo y bajo qué condiciones. Un proveedor de traducción sin registros auditables de acceso, procesamiento y entrega no puede soportar ese requisito.
Opacidad en la cadena de subproveedores. El artículo 28 del reglamento DORA exige el mapeo de dependencias en la cadena de suministro TIC. Si el proveedor de traducción subcontrata a lingüistas freelance que trabajan en sus propios entornos con sus propias herramientas, esa cadena es invisible —y por tanto inauditable.
Ausencia de resiliencia operativa. ¿Qué ocurre si el proveedor lingüístico falla en mitad de un proceso regulatorio crítico? Sin SLAs definidos, sin planes de continuidad y sin infraestructura redundante, el riesgo operativo recae sobre la entidad contratante.
El nuevo estándar: el papel de la traducción en el riesgo digital
La normativa DORA obliga a las entidades financieras y a sus asesores a replantear cómo evalúan a sus proveedores lingüísticos. Las preguntas relevantes ya no son solo «¿traducen bien?» o «¿cuánto cobran por palabra?». Son:
¿Está este proveedor incluido en nuestro registro de acuerdos con terceros de TIC? ¿Puede ser auditado? ¿Su cadena de subcontratación está identificada y contractualizada? ¿Qué tecnologías usa y bajo qué condiciones? ¿Dispone de un plan de continuidad operativa?
Para muchas entidades, la respuesta honesta hoy es que no lo saben. Y eso, bajo el reglamento DORA, es un gap de cumplimiento.
Cómo responde ATLS al marco de la normativa DORA
ATLS ha construido su modelo de servicio pensando precisamente en estas preguntas. La integración de los servicios lingüísticos dentro de un marco de gobernanza tecnológica no es para ATLS una respuesta reactiva al reglamento DORA: es la dirección en la que lleva años evolucionando como proveedor especializado en entornos jurídicos y financieros.
En la práctica, eso significa entornos de traducción cerrados y controlados, sin exposición a plataformas públicas. Tecnología de traducción automática en modalidad enterprise, con posibilidad de motores dedicados o despliegue en cloud europeo.
Trazabilidad completa de cada proyecto: quién intervino, en qué fase, con qué herramienta, cuándo. Cadena de proveedores identificada y alineada contractualmente con los mismos estándares de confidencialidad y seguridad que el cliente exige internamente. SLAs definidos, monitorizados y con capacidad de reporting auditable.
Y sobre todo, lo que ninguna solución puramente tecnológica puede garantizar: revisión humana especializada en contenidos jurídicos y financieros, con glosarios validados y memorias de traducción que aseguran consistencia terminológica a lo largo del tiempo y entre documentos relacionados.
DORA como ventaja competitiva para las entidades que actúan primero
El reglamento DORA no es solo una carga de cumplimiento. Para las entidades y despachos que lo abordan de forma proactiva, representa una oportunidad de diferenciación: demostrar a clientes financieros y reguladores que cada eslabón de su cadena de servicio, incluidos los proveedores lingüísticos, está gobernado bajo los mismos criterios que aplican a sus proveedores tecnológicos críticos.
La diferencia entre un proveedor de traducción convencional y uno alineado con el reglamento DORA no está en la calidad del output. Está en la infraestructura, los procesos, la trazabilidad y la capacidad de rendir cuentas cuando alguien lo exija.
Convierte tu partner de traducción en un activo de compliance
Si tu empresa ya está trabajando en la adaptación al reglamento DORA, hay una pregunta clave que no puedes dejar sin responder:
¿están tus proveedores lingüísticos dentro de tu perímetro de riesgo TIC… o fuera de control?
En ATLS ayudamos a despachos y entidades financieras a integrar la traducción dentro de su marco de gobernanza, con trazabilidad, control tecnológico y cumplimiento real.
Preguntas frecuentes sobre reglamento DORA
¿Qué es el reglamento DORA y cuál es su objetivo?
El reglamento DORA (Digital Operational Resilience Act) es la normativa europea que establece un marco común para garantizar la resiliencia operativa digital en el sector financiero. Su objetivo es que entidades financieras y proveedores TIC puedan resistir, responder y recuperarse ante incidentes tecnológicos o ciberataques sin afectar a la continuidad del servicio.
¿A quién aplica la normativa DORA?
La normativa DORA aplica a bancos, aseguradoras, gestoras de fondos, empresas de inversión y otros actores del sector financiero, pero también a sus proveedores de servicios TIC. Esto incluye cualquier tercero que procese datos o participe en funciones críticas, lo que amplía significativamente el perímetro de cumplimiento.
¿Qué exige el reglamento DORA a las empresas?
El reglamento DORA establece cinco grandes bloques de obligaciones:
Gestión del riesgo TIC
Notificación de incidentes
Pruebas de resiliencia operativa
Gestión del riesgo de terceros
Intercambio de información sobre ciberamenazas
En la práctica, obliga a las empresas a documentar, auditar y controlar toda su infraestructura digital y cadena de proveedores.
¿Por qué los proveedores externos son clave en la normativa DORA?
Uno de los pilares de la normativa DORA es la gestión del riesgo de terceros TIC, ya que muchos incidentes provienen de proveedores externos. De hecho, el reglamento exige identificar, monitorizar y contractualizar a todos los proveedores que intervienen en servicios críticos, incluyendo su cadena de subcontratación.
¿Cuándo entra en vigor el reglamento DORA y qué implica su cumplimiento?
El reglamento DORA es aplicable desde el 17 de enero de 2025 y, al ser un reglamento europeo, es de aplicación directa en todos los Estados miembros. Su cumplimiento implica que las organizaciones deben demostrar, con evidencia auditable, que gestionan correctamente los riesgos digitales y que sus proveedores cumplen los mismos estándares.
