Las entidades financieras deberán comunicar a Banco de España los proyectos de Cloud Computing que tengan previstos

Recientemente varios reguladores bancarios Europeos, entre ellos el Banco de España, han hecho un recordatorio a las entidades financieras  indicando que la contratación en régimen de Cloud Computing de servicios de tratamiento de información sensible (como por ejemplo el correo electrónico) deben estar regidos por la normativa vigente en materia de subcontratación de servicios.  Se alude a algunos casos en los que las entidades han contratado este tipo de servicios adhiriéndose a los contratos estándar de los prestadores de servicios, lo que impide a la entidad cumplir totalmente con sus obligaciones en materia de control.

En el caso Español, los contratos de prestación de servicios de custodia o tratamiento de información sensible de las entidades en régimen de Cloud Computing son, a juicio del Banco de España, una variedad del contrato de delegación de servicios o funciones al que se refiere el apartado cuarto de la norma centésima quinta de la Circular 3/2008, de 22 de mayo, sobre determinación y control de los recursos propios mínimos. En dicha norma se establece que las entidades de crédito podrán delegar en un tercero la prestación de servicios o el ejercicio de funciones propias de su actividad típica y habitual, siempre y cuando se cumplan entre otras  las siguientes condiciones:

  • Que las capacidades de control interno de las propias entidades no se vean disminuidas como consecuencia de la delegación. El control interno debe extenderse a todos los aspectos de la actividad de las entidades, incluyendo aquellos que son objeto de delegación.
  • Que las capacidades de supervisión del Banco de España no se vean menoscabadas como consecuencia de la delegación.
  • Que la delegación se establezca por escrito mediante un contrato en el que queden reflejados los derechos y obligaciones de las partes. La contratación de servicios o funciones no puede resultar en la obstaculización de las facultades de supervisión del Banco de España, y así deberá preverse en los contratos, cualquiera que sea el área de actividad. A tal efecto, deberán incluir en ellos una cláusula que contemple el acceso directo y sin restricciones del Banco de España a la información de la entidad de crédito en poder de los proveedores, así como la posibilidad de verificar, en los propios locales de éstos, la idoneidad de los sistemas, herramientas o aplicaciones utilizados en la prestación de los servicios o funciones delegados.
  • En la elección de proveedores de servicios o funciones, sean o no esenciales, las entidades deberán valorar, junto con la calidad, experiencia y estabilidad de aquéllos, el grado de dependencia en el que puedan incurrir, así como el nivel de control que puedan tener sobre el contrato, de tal forma que les permita, entre otras cosas, el desistimiento cuando se estime oportuno, con costes razonables, en su caso. A estos efectos, las entidades deberán cuidar de que los planes de contingencias que tengan establecidos incluyan y contemplen adecuadamente los servicios o funciones que hayan sido objeto de delegación, en particular los que tengan carácter esencial.

Los reguladores van más allá del mero recordatorio e instan a las entidades a que comuniquen formalmente a los servicios de inspección los planes de delegación de servicios informáticos. Dicha comunicación deberá ir acompañada de un análisis de riesgos y de una definición de medidas de control asociadas, cuando existan factores que impriman especial relevancia a dicha delegación, como, por ejemplo, que el prestador de servicios resida fuera de España, se use nueva tecnología o se constituyan sociedades para prestar el correspondiente servicio informático.

El modelo de prestación de servicios informáticos “en la nube” constituye una auténtica revolución que marcará sin duda la arquitectura de las organizaciones en este siglo XXI. La creciente madurez de las tecnologías de virtualización  en las que se apoya el modelo permiten una flexibilidad y un ajuste de costes sin precedentes. Hoy por hoy, sin embargo, el despegue de este modelo dentro del mundo empresarial está aún lejos de materializarse en todo su potencial. Esto es debido en gran medida a la ausencia de estándares y directrices claros que permitan aclarar cómo se deben gestionar asuntos como la protección de datos u otros aspectos relevantes desde la perspectiva del control interno de las organizaciones. En este sentido cabe destacar la expectación creciente sobre el posicionamiento de la futura normativa europea de protección de datos. Es decir, se trata de un problema de desconocimiento, indefinición e incertidumbre al que las empresas prestadoras de servicios (y esto es mi opinión particular) no están sabiendo dar tampoco una respuesta adecuada quizás por un desconocimiento de las inquietudes de sus potenciales clientes.

Deja un comentario