La ESMA publica sus directrices sobre externalización de servicios en la nube

23-12-2020 — AR/2020/183

La directrices de la autoridad europea se centran en la externalización de funciones en proveedores de servicios en la nube, en especial, si son funciones críticas. El regulador manifiesta que lo hace con el fin de ayudar a las empresas a identificar, abordar y monitorear los riesgos que surgen de los acuerdos de externalización en la nube y apoyar la convergencia supervisora en la Unión Europea (UE).

La ESMA (siglas inglesas de la Autoridad Europea de  Valores y Mercados) publicó, el 18-12-2020, su directrices sobre la externalización a proveedores de servicios en la nube, que serán de aplicación a los acuerdos de externalización de las empresas que prestan servicios de inversión (en adelante ESI o empresas), firmados, modificados o renovados a partir del 31 de julio de 2021.

El propósito que expone el supervisor para estas directrices es ayudar a determinar, gestionar y supervisar los riesgos que surgen por los acuerdos de externalización en la nube.

Según la ESMA, estos acuerdos pueden generar riesgos para la protección del inversor, la integridad del mercado y la estabilidad financiera, si no se controlan adecuadamente. Este control del riesgo se debe realizar, según indica, desde la toma de la decisión de externalizar, pasando por la selección del proveedor y el seguimiento de las actividades externalizadas, hasta la previsión de estrategias de salida.

Estas directrices de la ESMA completan las emitidas por las autoridades europeas sobre este asunto, pues la EBA y la EIOPA ya publicaron las suyas.

A continuación, destacamos los ámbitos y criterios de las directrices que promueven la convergencia supervisora:

Gobernanza, supervisión y documentación

Las directrices determinan que las ESI deben tener una estrategia de externalización en la nube definida y actualizada, acorde con las estrategias de la propia empresa y con sus políticas y procesos internos. Además, es importante que la empresa centre el control en las funciones críticas que externalice.

La empresa deberá mantener un registro actualizado de información, para el que se define una mínima, sobre todos los acuerdos de externalización en la nube, distinguiendo entre los de funciones críticas y el resto. Respecto a esta distinción, debe dejar recogido un un resumen con las razones por las que la función externalizada se considera crítica o no.

Análisis previo a la externalización y diligencia debida

Las directrices recogen que, antes del acuerdo de externalización en la nube, la empresa debe:

  • estudiar si el acuerdo recae sobre una función crítica o no:
  • identificar los riesgos del acuerdo;
  • actuar con la debida diligencia sobre el posible proveedor de servicio en la nube (CSP. en siglas inglesas);
  • identificar y analizar la existencia de conflictos de intereses que se puedan generar.

Elementos contractuales clave

Según la ESMA, en el contrato deben incluirse los derechos y obligaciones de ambas partes —la empresa y su proveedor— y recoger la posibilidad de que la empresa finalice el contrato cuando sea necesario.

Además, las directrices marcan un contenido mínimo para el caso de recaer el acuerdo sobre funciones críticas o importantes, que sería, al menos:

  • la descripción detallada de la función externalizada,
  • las obligaciones financieras entre las partes,
  • si se permite la subdelegación y sus condiciones, o
  • disposiciones relativas a la seguridad de la información y la protección de los datos personales.

Seguridad de la información

Las directrices indican que las empresas deben recoger las medidas de seguridad de la información en sus políticas y procedimientos internos, y en el acuerdo escrito de externalización en la nube.

Si se externalizan funciones críticas, la empresa ha de asegurarse de:

  • asignar las funciones y responsabilidades entre ella y el proveedor de servicios en la nube,
  • gestionar el acceso a los datos de la empresa,
  • confirmar que el sistema está dotado de tecnologías de cifrado adecuadas y de mecanismos para garantizar la continuidad del negocio y la recuperación de desastres, entre otras acciones .

Estrategias de salida

Las directrices también obliga a que la empresa se cerciore de que, en el supuesto de externalizar funciones críticas, podría salir del acuerdo sin  interrupción  indebida  de  sus actividades comerciales y sin perjudicar el cumplimiento  de sus obligaciones legales, y preservando la confidencialidad,  integridad y disponibilidad de sus datos.

Derechos de acceso y auditoría

Las directrices destacan que el acuerdo de externalización de servicios en la nube no limitará el ejercicio efectivo de los derechos de acceso y auditoría de la empresa y de la autoridad supervisora competente.

Subcontratación

También aclaran que, para permitir el acuerdo de de subcontratación de funciones críticas , el acuerdo escrito de externalización en la nube deberá:

  • especificar las funciones externalizadas, las condiciones de la subcontratación, y las responsabilidades y obligaciones del CSP;
  • asegurar el derecho de la empresa a la oposición de la subcontratación y a rescindir el contrato en caso de oposición a la subcontratación.

Notificación escrita a las autoridades competentes

La empresa ha de notificar por escrito a su autoridad competente los acuerdos de externalización en la nube que afecten a funciones críticas y los que previamente incluyeran una función clasificada como no crítica, pero que después se haya considerado crítica o importante.

Supervisión de los acuerdos de externalización en la nube

Las autoridades competentes evaluarán los riesgos generados por los acuerdos de externalización en la nube de las empresas, con atención especial en los acuerdos que afecten a funciones críticas.