‘Outsourcing de IT. Aspectos legales a tener en cuenta’, por María González, asociada senior de Information Technology de ECIJA.
La externalización de servicios de tecnología esta suponiendo y va a suponer también en el próximo año 2015, un elemento esencial en el crecimiento empresarial, pero si las empresas quieren evitar riesgos derivados de la externalización de servicios, deberán preverse, desde la fase inicial, todas y cada una de las implicaciones, entre ellas las legales, que puedan conllevar.
Esta misma mañana acudía a una interesante jornada que trataba sobre los aspectos claves a tener en cuenta en el Outsouring de IT, o lo que es lo mismo la externalización de servicios tecnológicos, una herramienta estratégica para las empresas, independientemente de su tamaño, ya que garantiza una mejora continua de los procesos de negocio por medio de la flexibilidad, la innovación y la optimización de los flujos de trabajo, al aportar dichos servicios, no sólo la propia tecnología, sino además conocimientos y recursos especializados, unidos a unos costes inferiores a lo que supondría contar con todos esos elementos a nivel interno.
Son aspectos claves previos a la externalización de cualquier servicio de tecnología, tener claro el alcance y objetivos del proyecto, es decir, ¿Qué necesitamos?, ¿Qué nos debe aportar?, ¿Con qué recursos contamos y/o necesitamos?, ¿Cómo lo vamos a implantar?, y por supuesto, ¿Cuánto nos queremos gastar?
Además de todos estos aspectos puramente estratégicos, de negocio y financieros, debe prestarse especial atención a los aspectos meramente jurídicos, debiendo tomar especiales precauciones desde el momento mismo de la preparación del contrato de prestación de servicios. Así, deberán analizarse desde el inicio las implicaciones legales que el servicio puede conllevar en aspectos como:
– Cumplimiento normativo.- La mayor parte de los servicios susceptibles de externalización en materia de tecnología, se ven afectados por la aplicación de normativas como:
– Protección de datos de carácter personal (en cuanto que los servicios pueden conllevar tratamiento de datos personales).
– Normativas sectoriales como por ejemplo, normativas de servicios financieros y de seguros.
– Otras normativas con obligaciones especificas en materia de seguridad de la información o continuidad de negocio.
– Confidencialidad / Secreto.- En la externalización de servicios TI se externaliza también una parte importante de los propios procesos de negocio de la compañía, y en consecuencia el prestador, va a tener acceso a información corporativa que ha de ser considerada como confidencial y exigirse deberes expresos en materia de confidencialidad y secreto en los contratos de prestación de servicios, pudiendo prever incluso penalizaciones en caso de incumplimiento.
– Seguridad, Continuidad y Migración.- Los servicios IT que sean subcontratados deben cumplir y adaptarse a las normas y políticas en materia de seguridad y continuidad de negocio que la empresa contratista tenga implantados, de forma que serán aspectos esenciales a cubrir en el contrato si no se quiere que los servicios supongan un riesgo o vulneración en los propios sistemas de gestión de seguridad de la información y continuidad de negocios de las empresas contratistas.
– Propiedad Intelectual e Industrial.- ¿Qué pasa si los servicios externalizados tienen que ver con el desarrollo de sistemas o aplicaciones corporativos? ¿A quien corresponderían los derechos de propiedad intelectual? ¿Qué garantías tenemos de que en el desarrollo encargado no se están vulnerando derechos de terceros? Deben recogerse en el contrato de prestación de servicios aspectos relativos a los derechos de propiedad intelectual que pueda verse implicados en la prestación del servicio externalizado.
– Garantías de cumplimiento y auditabildiad.- De cara a verificar el cumplimiento de las obligaciones establecidas en el documento contractual, es recomendable prever la garantía de auditabilidad de los servicios, esto es, que el contratista tendrá la capacidad y facultad de auditar, en las condiciones que sean establecidas en el propio contrato, la propia prestación del servicio como el cumplimiento de las obligaciones para su prestación.
– Acuerdos de nivel de servicio y monitorización.- Los acuerdos de nivel de servicio es un contenido esencial de cualquier contrato de externalización IT, en cuanto que permite establecer el marco de calidad del servicio, en aspectos claves como; disponibilidad del servicio, tiempo de respuesta, disponibilidad horaria, documentación disponible, personal asignado al servicio, etc.
Igualmente, de cara a poder monitorizar o medir la consecución de los objetivos marcados en la externalización del servicio, pueden establecerse KPI’s (o métricas e indicadores), elemento esencial si la contratista quiere evaluar y valorar la prestación del servicio externalizado.
Estas obligaciones deberán reflejarse en el documento contractual de forma expresa, para exigir y garantizar que los prestadores de los servicios, cumplen los requisitos legales de aplicación, pues su incumplimiento puede suponer para la empresa contratista, y para el propio prestador, importantes riesgos legales, riesgos financieros, e incluso riesgos reputacionales.
Enlace al artículo publicado en Microsoft Business: http://www.microsoft.com/es-es/business/business-news/outsourcing-de-IT-aspectos-legales-a-tener-en-cuenta