La nube financiera

El pasado 20 de diciembre la Autoridad Bancaria Europea (EBA, en sus siglas en inglés) publicó el informe final (EBA/REC/2017/03, el“Informe”) relativo a las recomendaciones sobre la delegación de funciones en proveedores de servicios en la nube (“Recomendaciones”). Las recomendaciones han de traducirse y publicarse en los idiomas oficiales de la Unión. A partir de dicha publicación las autoridades competentes nacionales tendrán dos meses para adoptarlas o no. Y, en su caso, serían de aplicación desde el 1 de julio de 2018.

La finalidad de las Recomendaciones radica en servir de guía a las entidades de crédito y a las empresas de servicios de inversión definidas en el apartado 1 del artículo 4 del Reglamento (UE) nº 575/2013, atendiendo a las implicaciones específicas sobre la estabilidad financiera que pudiera llegar a tener la delegación de funciones en proveedores de servicios en la nube. En este sentido, las medidas de seguridad que deben adoptar los proveedores de servicios en la nube se convierten en una cuestión clave para la gestión del riesgo operacional. La eventual concentración en unos pocos proveedores podría actuar de catalizador sistémico; el aumento de flujo de datos personales impacta en la protección del consumidor. 

A continuación, se exponen algunas de las recomendaciones encaminadas a proporcionar un marco de actuación, que trata de paliar y gestionar aquellos riesgos y otros que son inherentes al uso de la nube.

Las reglas generales sobre delegación de funciones se acuñaron por primera vez en 2006 bajo la forma de las directrices (publicadas el 14 de diciembre de ese año) por el Comité de Supervisores Bancarios Europeos, CEBS en sus siglas en inglés. Por delegación de funciones o externalización (“outsourcing”), se entendió todo acuerdo entre una institución financiera y un proveedor de servicios, donde el proveedor realiza un proceso, servicio o una actividad que de otra manera sería realizada por la propia institución financiera. Es una materia en constante evolución, que, en los últimos años, ha generado un creciente interés de las instituciones como consecuencia de la difusión en el uso de los servicios de los proveedores de servicios en la nube. A estos efectos, resulta relevante tener en cuenta las definiciones que EBA incluye en las Recomendaciones, entre otras, la de “servicios en la nube”, esto es, aquellos servicios proporcionados mediante la tecnología de la nube (Cloud Computing), es decir, un modelo para permitir el acceso a un pool compartido de recursos computacionales configurables (por ejemplo, redes, servidores, almacenamiento de información, aplicaciones y servicios) que pueden ser rápidamente aprovisionado y liberado con un mínimo de esfuerzo de gestión o interacción con el proveedor de servicios. 

Mientras que las directrices CEBS siguen siendo aplicables con carácter general para la delegación de funciones, las nuevas Recomendaciones proporcionan una orientación adicional para el contexto específico de las entidades que externalizan funciones hacia proveedores de servicios en la nube. 

En este sentido, el Banco de España emitió en 2012 un comunicado a las entidades de crédito en el que se les recordaba la obligación de notificar los acuerdos celebrados con proveedores de servicios en la nube, asumiendo, por tanto, su calificación como acuerdos de externalización sujeto a las reglas generales en la materia. En realidad, el supervisor español ya exigía alguna de las reglas contenidas ahora en las Recomendaciones como las relacionadas con medidas específicas de control del derecho de acceso, el derecho de auditoría y acceso de delegante y supervisor, las barreras de seguridad y el control y restricciones en la ubicación de los datos. 

Así pues, las Recomendaciones son el fruto de la evolución de la propia tecnología, del estudio e identificación de cuestiones y riesgos concretos, y de la práctica de las entidades y los supervisores, de la delegación en la nube y que, como las reglas CEBS, han de ser aplicadas por las entidades de crédito y las empresas de servicio de inversión atendiendo al principio de proporcionalidad, esto es, en consideración al tamaño, la estructura y el entorno operacional en el que actúa la entidad, así como a la naturaleza, la escala y la complejidad de sus actividades. 

En términos generales, la externalización se permite siempre que la actividad de la entidad no se vacíe del contenido (“empty box”), y que la externalización no disminuya las capacidades de control interno y de supervisión de los supervisores competentes (en nuestro caso, BdE, BCE o CNMV, según corresponda). 

Las Recomendaciones están diseñadas para asegurar que la entidad tome medidas razonables para evitar riesgos operacionales adicionales indebidos. 

Para tener en cuenta las especificidades de la subcontratación en la nube, las Recomendaciones incluyen alguna orientación sobre la seguridad de los datos y los sistemas utilizados. También abordan el tratamiento de dichos datos y la ubicación en relación al procesamiento de los datos que se utilicen. 

Las entidades, delegantes y subdelegantes han de adoptar un enfoque de gestión de riesgo con controles y medidas adecuados tales como el uso de tecnologías de encriptación para datos en tránsito, datos en memoria y datos en reposo.

Las recomendaciones incluyen requisitos específicos para mitigar los riesgos asociados con la externalización en 'cadena', en particular en los casos en los que el proveedor de servicios en nube subcontrata elementos del servicio a otros proveedores. El uso de sub-delegados por parte del proveedor de servicios en la nube no debe afectar a los servicios prestados en virtud del acuerdo de externalización, debiendo garantizarse que en caso de sustitución tanto del delegatario como del sub-delegatario, la migración de la actividad, datos y servicios se produzca de la manera ordenada y segura a otro proveedor de servicios.

La entidad deberá exigir a sus proveedores de servicios en la nube que adopten medidas especiales para proteger los datos “subidos” a la nube y evitar el acceso o la divulgación no autorizados debiendo realizar una investigación previa (risk assessment, due diligence) sobre aspectos de seguridad en las materias reseñadas u otros aspectos tales como si utilizar la nube privada mejora la seguridad y en qué medida o en base a qué clausulado contractual puede esta garantizarse mejor.

Las estipulaciones contractuales entre la institución financiera y el proveedor de servicios en la nube han de garantizar el acceso tanto de los supervisores competentes como de la propia entidad, a los sistemas de los proveedores de toda la cadena.

Las Recomendaciones recalcan la especial importancia de los planes de contingencia y la medida de seguridad ya no sólo como medida de control de los riesgos operacionales, sino también como parámetro clave para la “resolubilidad” de las entidades de crédito. Y proporcionan orientación sobre los contenidos de los acuerdos contractuales y organizativos en relación con estos planes y las estrategias de salida.

Para terminar, simplemente reiterar lo que siempre conviene recordar cuando se analizan de recomendaciones, directrices o meras guías de las autoridades de supervisión europea. Y es que, este tipo de instrumentos cuasi-normativos, forman parte del denominado “soft-law” (dicho así por ser más conocido en su terminología inglesa), cuyo incumplimiento no conlleva un reproche sancionable administrativa. 

Si bien este acervo puede no tener las consecuencias jurídicas de legislación positiva, los supervisores y los tribunales las usarán como criterios de interpretación sobre la base de que, en este caso concreto en relación con las Recomendaciones, EBA reúne la opinión de las autoridades financieras competentes nacionales, así como de los actores del sector, pudiendo por lo tanto tener el efecto denominado “soft-coertion”.

Curra Munuera, socia de CMS Albiñana & Suárez de Lezo