Tags: Legal |

Directrices para la subcontratación a proveedores de servicios en la nube


TRIBUNA de Natalia López Condado, responsable del área de Asset Management y Private Banking de Clifford Chance.

El regulador europeo del mercado de valores (ESMA) publicó el pasado 3 de junio de 2020 una consulta con un borrador de directrices dirigidas al sector financiero, relativas al uso de proveedores de servicios en la nube, lo que en inglés se conoce como cloud service providers (las directrices).

No es la primera vez que se dictan directrices en esta materia. El regulador europeo bancario ya publicó unas recomendaciones específicas sobre la subcontratación/delegación (outsourcing) a proveedores de servicios en la nube (EBA/REC/2017/03) que finalmente se incorporaron a las directrices Generales de EBA sobre subcontratación (EBA/GL/2019/02). También el regulador europeo de seguros publicó unas directrices específicas en esta materia (EIOPA-BoS-20-002). Ahora es ESMA el que dicta tales directrices en línea con las anteriores, con el fin de proporcionar orientación sobre los requisitos de subcontratación/delegación aplicables a los participantes del mercado financiero cuando subcontratan a proveedores de servicios en la nube. En particular, su objetivo es ayudar a las entidades y autoridades competentes a identificar, abordar y controlar los riesgos y desafíos que surgen de los  contratos de subcontratación en la nube.

La consulta está dirigida a los supervisores de cada Estado miembro y a distintos participantes en el mercado financiero, incluyendo, entre otros, a entidades gestoras de UCITS y FIA, depositarios, contrapartidas centrales, trade repositories, proveedores de suministros de datos, entidades de crédito y empresas de servicios de inversión (todas ellas, las entidades). Obviamente, los proveedores de servicios en la nube también estarán interesados en esta consulta al recoger las directrices a seguir para asegurar que los riesgos derivados del uso de dichos servicios en la nube estén perfectamente controlados.

Cada vez más las entidades recurren a proveedores de servicios en la nube en las que delegan determinadas actividades tecnológicas (IT). Dicha delegación ofrece una reducción de costes y una mayor eficiencia operacional y flexibilidad, si bien implica riesgos, entre otros, en el área de la protección de datos y de la seguridad de la información que deben ser especialmente controlados. A ello se une el riesgo de concentración, ya que en el supuesto de que las entidades deleguen sus actividades en los mismos proveedores, puede generar un impacto negativo en la estabilidad financiera.

Las directrices parten del principio de proporcionalidad, diferenciando entre funciones críticas e importantes y aquellas que no lo son, señalando que los reguladores deben tener en cuenta asimismo dicho principio en sus actuaciones de supervisión.

A continuación se detallan las directrices propuestas:

  • Directriz 1: Los mecanismos de gobernanza, supervisión y documentación: ESMA teme que las estrategias de externalización en la nube sean vistas por el equipo de dirección como un tema puramente tecnológico que no esté debidamente controlado y supervisado por los órganos de dirección. Por ello, recomienda que las entidades cuenten con una estrategia de externalización en la nube definida y actualizada que sea coherente con sus distintas estrategias tales como su estrategia de tecnología de la información y la comunicación, su estrategia de ciberseguridad de la información, su estrategia de gestión de riesgos operativos y las políticas y procesos internos.

 

  • Directriz 2: La evaluación y la debida diligencia que deben realizarse antes de la externalización: ESMA teme que la externalización en la nube se realice sin un análisis y una evaluación previa detallada ya que ha observado que muchos proveedores de servicios en la nube ofrecen un modelo único (one-size-fit-all) y que las Entidades tienden a obviar las particularidades de su datos y procesos de negocio cuando diseñan su estrategia de subcontratación. Asimismo creen que las Entidades pueden no reevaluar correctamente los riesgos de los contratos en casos, por ejemplo, de cambios en las circunstancias del proveedor de servicios en la nube. Por ello, ESMA establece que es necesario realizar un análisis previo a la externalización valorando si las funciones a subcontratar son críticas e identificando los riesgos y los posibles conflictos de interés que la subcontratación puede implicar. Este análisis previo debe ser proporcional a la naturaleza, escala y complejidad de la función que las Entidades pretendan externalizar y los riesgos inherentes a esta función.

 

  • Directriz 3. Los elementos mínimos que deben incluir los contratos de externalización: Los contratos de externalización deberán documentarse por escrito recogiendo los derechos y obligaciones de las partes que incluirán la posibilidad de la Entidad de terminar los contratos si fuera necesario. Adicionalmente, en caso de delegación de funciones críticas, se deberán incluir determinadas cautelas.

 

  • Directriz 4: Seguridad en la información: La seguridad en la información es uno de los principales riesgos en los servicios en la nube dada la interconexión cada vez mayor del sistema financiero y la sofisticación de los ciberataques. Por ello, ESMA propone que las Entidades deban establecer requisitos de seguridad de la información en sus políticas internas y procedimientos. Asimismo, en el contrato escrito quedarán recogidos estos requisitos de seguridad y se controlará el cumplimiento de estos requisitos de manera permanente, incluyendo la protección de datos confidenciales, personales o sensibles.

 

  • Directriz 5: Las estrategias de salida: En el supuesto de externalización de funciones críticas o importantes es fundamental que las Entidades puedan terminar los contratos de externalización en la nube sin que se produzca ninguna interrupción de sus actividades y servicios a sus clientes y sin perjudicar el cumplimiento de sus obligaciones legales, así como de la confidencialidad, integridad y disponibilidad de sus datos. Por ello, las Entidades deberán elaborar y tener actualizados en todo momento estos planes de salida.

 

  • Directriz 6: Derechos de acceso y auditoría que deben ser realizados: El contrato de externalización de servicios no debe limitar el ejercicio efectivo de los derechos de acceso y auditoría de la Entidad, así como la supervisión del servicio en la nube.

 

  • Directriz 7: Subdelegación (sub-outsourcing): En el supuesto de subdelegación de funciones críticas, el contrato debe recoger determinadas cautelas, tales como, en su caso, si determinadas funciones no pueden ser subdelegadas, o sí pueden, los requisitos que dicha subdelegación debe cumplir, la obligación del proveedor de supervisar las funciones que a su vez subdelega, la posibilidad de que las Entidades puedan oponerse a dicha subdelegación de los servicios. Adicionalmente, las Entidades deben asegurarse de que el proveedor del servicio en la nube supervise adecuadamente al subcontratista.

 

  • Directriz 8: Notificación a las autoridades competentes: En el supuesto de que se quiera externalizar funciones críticas o importantes, es necesario que las Entidades lo notifiquen en tiempo a la autoridad competente. ESMA establece un listado de información mínima a suministrar a las autoridades.

 

  • Directriz 9: Supervisión por parte de las autoridades competentes de los contratos de externalización de servicios en la nube: Las autoridades competentes deben evaluar los riesgos derivados de los contratos de subcontratación en la nube de las entidades como parte de su proceso de supervisión. En particular, esta evaluación debe centrarse en los contratos relacionados con la externalización de funciones críticas o importantes. Las autoridades competentes también deben asegurarse de que pueden realizar una supervisión efectiva, en particular cuando las Entidades subcontraten funciones críticas o importantes fuera de la Unión Europea.

 

La consulta recoge 12 preguntas relativas a las propuestas de Directrices señaladas. El plazo para remitir comentarios a la consulta es hasta el 1 de septiembre de 2020.

En principio, las directrices serán aplicables a partir del 30 de junio de 2021 a todos los contratos de externalización en la nube suscritos, renovados o modificados en esta fecha o después. La consulta señala asimismo que las entidades deberían revisar y modificar en consecuencia los contratos de externalización de la nube existentes con el fin de garantizar que tengan en cuenta estas directrices antes del 31 de diciembre de 2022.

Puedes acceder a la consulta  con las Directrices en el siguiente enlace.

Profesionales
Empresas

Noticias relacionadas