Regl. · n.º 2243
Reglamento (UE) 2025/2243
 Abrir lector completo

Art. 5

Mecanismo de autorización

En vigor desde 6 nov 2025
Artículo 5 Mecanismo de autorización 1.   Las plataformas IETM utilizarán uno de los siguientes tipos de mecanismos de autorización, o ambos: a) la verificación de los derechos de tratamiento del usuario, mediante registros de autorizaciones en los que los derechos de tratamiento de los usuarios incorporados se registren, se mantengan actualizados y estén disponibles a efectos de auditoría, y que constituirán el principal mecanismo de autorización; b) la expedición y verificación de los derechos temporales de tratamiento, mediante registros de autorizaciones en los que se registren las credenciales de acceso temporal de los usuarios ocasionales no incorporados. 2.   Los registros de autorizaciones a que se refiere el apartado 1 se establecerán y mantendrán como un componente de TIC separado. Este componente de TIC separado formará parte o bien de la plataforma IETM, o bien de un sistema de TIC externo a la plataforma IETM con el que esta establezca comunicaciones seguras, de conformidad con el artículo 12, apartado 4. 3.   Los registros de autorizaciones a que se refiere el apartado 1, letra a), mantendrán un «perfil de usuario» identificado de manera unívoca para cada usuario profesional incorporado, para lo cual registrarán al menos la siguiente información: a) la identificación única del usuario profesional, expresada como referencia codificada; b) los derechos de tratamiento, expresados como referencias, cuando dichas referencias incluyan: i) referencias a las operaciones de tratamiento contempladas en el artículo 8, ii) el período de tiempo para el que se concede cada uno de los derechos de tratamiento a que se refiere la letra b), iii) las referencias codificadas de los elementos de datos IETM o grupos de elementos de datos IETM, tal como se especifica en la sección 2 del anexo del Reglamento Delegado (UE) 2024/2024, respecto de los cuales pueden llevarse a cabo todas las operaciones de tratamiento a que se refiere el artículo 8; c) una indicación de si el usuario profesional puede actuar como autorizador primario o como autorizador temporal; d) en el caso de los usuarios profesionales designados como autorizadores primarios, los números únicos de identificación de los perfiles de usuario incorporados existentes que están autorizados a modificar; e) en el caso de los usuarios profesionales designados como autorizadores temporales, los derechos temporales de tratamiento que tienen derecho a emitir a los usuarios no incorporados, expresados como referencias a las operaciones de tratamiento a que se refiere el artículo 8; f) una indicación de si el usuario profesional puede solicitar notificaciones relacionadas con las solicitudes de acceso a datos IETM por parte de las autoridades competentes y las comunicaciones de seguimiento conexas, cuando estén relacionadas con el eFTI CMDS respecto del que el usuario profesional tenga derechos de tratamiento. 4.   El operador de la plataforma IETM o, cuando el registro de autorizaciones esté establecido como componente de un sistema de TIC externo a la plataforma IETM, el operador del sistema de TIC externo, adoptará medidas para garantizar la adecuada incorporación de los usuarios profesionales que puedan actuar como «autorizador primario». Dichas medidas consistirán, como mínimo, en: a) la identificación y autenticación, de conformidad con los requisitos establecidos en el artículo 4, apartado 2, letra a); b) la verificación de las credenciales que indiquen que el usuario profesional es un tenedor de datos o constituye el representante legal de un tenedor de datos, o que el usuario profesional está facultado para autorizar, en nombre de un tenedor de datos, el tratamiento de datos respecto de los cuales ese tenedor de datos tenga los derechos u obligaciones a que se refiere el artículo 1, punto 23; c) el mantenimiento de un registro de dichas credenciales a efectos de auditoría. 5.   El mecanismo de autorización a que se refiere el apartado 1, letra b), incluirá funcionalidades que cumplan, como mínimo, las siguientes especificaciones: a) permitir que los usuarios incorporados designados como autorizadores temporales emitan derechos temporales de tratamiento a usuarios no incorporados, registrando en un registro específico las credenciales de acceso temporal de los usuarios no incorporados, que contendrán como mínimo: i) datos de contacto que identifiquen al usuario no incorporado y que puedan utilizarse para enviar mensajes electrónicos, ii) el UUID del eFTI CMDS respecto del que se conceden derechos temporales de tratamiento al usuario no incorporado, iii) los derechos de tratamiento otorgados al usuario no incorporado, expresados como referencias a las operaciones de tratamiento a que se refiere el artículo 8, iv) el período de tiempo concreto durante el que dichos derechos de tratamiento son válidos; b) permitir que los usuarios incorporados designados como autorizadores temporales den acceso temporal a los datos IETM a los usuarios no incorporados respecto de los cuales hayan registrado credenciales de acceso temporal enviando, mediante los datos de contacto registrados del usuario no incorporado, un mensaje que contenga: i) un enlace de acceso a la plataforma IETM, ii) el UUID de cada eFTI CMDS respecto del que se conceden derechos temporales de tratamiento al usuario no incorporado; c) cuando un usuario no incorporado solicite acceso a la plataforma IETM, darle acceso a la plataforma IETM mediante autenticación de doble factor, y permitirle llevar a cabo operaciones de tratamiento basadas en los derechos de tratamiento que le correspondan, registrados de conformidad con la letra a); d) poner fin a la sesión de inicio de sesión de un usuario no incorporado tan pronto como ocurra una de las siguientes situaciones: i) el usuario notifica la finalización de la sesión de tratamiento de datos, ii) el plazo a que se refiere la letra a), inciso iv), expira. 6.   La información registrada en los registros de autorizaciones de conformidad con los apartados 1 a 5 se conservará a efectos de auditoría, como mínimo, durante el mismo período de tiempo durante el cual el eFTI CMDS respecto del cual los usuarios correspondientes hayan realizado operaciones de tratamiento deba mantenerse disponible, de conformidad con el Derecho nacional o de la Unión aplicable, con arreglo al artículo 9, apartado 1, letra i), del Reglamento (UE) 2020/1056. 7.   Las plataformas IETM suprimirán toda la información que constituya datos personales, de conformidad con el Reglamento (UE) 2016/679, en un plazo razonable tras la expiración del plazo a que se refiere el apartado 6.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg_impl:2025:2243:oj#art-5

Volver a la ficha de la norma
Inicio
Buscar
Mis Consultas
Tienda
Perfil