Revisión contractual urgente: Impactos del Reglamento DORA en el sector financiero

El (Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022) entró en vigor el 17 de enero de 2025, imponiendo nuevas y rigurosas obligaciones a las entidades financieras y a los proveedores terceros de servicios de Tecnologías de la Información y la Comunicación (TIC), como proveedores de computación en la nube, software e infraestructuras TIC.

Frente a este nuevo marco normativo, es necesario realizar un análisis detallado e inmediato de los contratos vigentes para proceder a su revisión y actualización.

Esto se debe a que, además de imponer obligaciones estructurales sobre la seguridad y la resiliencia de los sistemas de las entidades financieras, el Reglamento DORA establece un marco normativo detallado que regula las relaciones contractuales con los denominados “Proveedores Terceros de Servicios de TIC”, respondiendo a la creciente dependencia de las entidades financieras de proveedores externos de soporte para sus funciones y procesos en TIC.

Uno de los ejes centrales del DORA es la gestión del riesgo asociado con estos terceros proveedores, exigiendo un conjunto mínimo de obligaciones contractuales que tanto las entidades financieras como los proveedores deben respetar, con el objetivo principal de garantizar (i) el monitoreo continuo de los servicios prestados, para asegurar la continuidad operativa de las entidades financieras, y (ii) una supervisión efectiva por parte de las autoridades competentes sobre los proveedores de servicios TIC, con especial énfasis en aquellos que apoyan funciones críticas o importantes de las entidades financieras.

De acuerdo con lo anterior, para garantizar un monitoreo efectivo, la continuidad operativa y la supervisión regulatoria, el legislador europeo, a través del artículo 30 del Reglamento DORA, establece que los contratos celebrados entre las entidades financieras y los proveedores de servicios TIC deben, como mínimo, incluir las siguientes disposiciones:

– Descripción detallada de los servicios TIC a prestar, incluida la posibilidad y las condiciones de subcontratación;

– Identificación de los lugares de prestación de servicios y tratamiento de datos, con la obligación de notificación previa en caso de cambio;

– Establecimiento de obligaciones rigurosas en cuanto a las políticas de tratamiento de datos, asegurando su disponibilidad, integridad, autenticidad y confidencialidad, así como el cumplimiento de las disposiciones del Reglamento General de Protección de Datos Personales (RGPD);

– Procedimientos de acceso y recuperación de datos en caso de cese de actividad o insolvencia;

– Establecimiento de niveles de servicio (SLAs) con actualización y revisión periódicas;

– Procedimientos de asistencia obligatoria en caso de incidentes TIC;

– Obligación de cooperación con las autoridades competentes;

– Cláusulas de rescisión y períodos mínimos de preaviso;

– Condiciones para la participación en programas de formación sobre seguridad TIC y resiliencia operativa digital.

Cuando los proveedores de servicios TIC apoyen funciones críticas o importantes, los contratos deben incluir también:

– Descripción completa de los niveles de servicio, con metas de rendimiento cuantitativas y cualitativas rigurosas;

– Obligaciones de notificación previa sobre desarrollos relevantes que puedan afectar la capacidad del proveedor para prestar servicios eficaces;

– Planes de contingencia y medidas de seguridad ajustadas y probadas regularmente;

– Participación obligatoria en pruebas de penetración (TLPT);

– Derechos de monitoreo continuo, incluidas auditorías e inspecciones;

– Estrategias de salida y períodos de transición obligatorios.

Ante estos requisitos regulatorios, de nuestra experiencia en la asesoría prestada a entidades financieras recomendamos que se adopte un enfoque proactivo para implementar de manera ágil y eficaz:

(a) Un análisis detallado de los procesos internos que dependen de servicios TIC de terceros, priorizando aquellos que apoyan funciones críticas o importantes;

(b) Un programa de definición y gestión de prioridades para la revisión contractual;

(c) Una calendarización rigurosa para garantizar el cumplimiento de las normas.

Las entidades financieras deben mantener un registro actualizado de todos los contratos celebrados con proveedores de servicios de TIC, destacando aquellos que involucran funciones críticas. Este registro debe estar disponible para las autoridades de control, lo que permite una verificación rápida y eficaz del cumplimiento de las obligaciones regulatorias.

Por último, es importante señalar que las autoridades competentes tienen la facultad de supervisar y controlar tanto a las entidades financieras como a los proveedores de TIC, con la capacidad de imponer multas coercitivas a los proveedores de servicios TIC que no cumplan las medidas exigidas, que pueden llegar hasta el 1% de su volumen de negocios diario global promedio del año fiscal anterior.

cuenta con abogados experimentados en el ámbito de los Contratos, Cumplimiento Normativo y , y podrá prestar asesoría jurídica en esta área, apoyando eficazmente los procesos de revisión contractual.

 

Otras publicaciones

Portugal_Prueba del error médico – obligación de probar los requisitos de la responsabilidad civil extracontractual por actos realizados en una unidad del SNS

En un caso de negligencia médica y/o error médico, la prueba es siempre uno de los principales «obstáculos» para el éxito de una demanda de esta naturaleza, ya que corresponde al demandante (paciente)

Leer más

Pérdida de beneficios en virtud de un contrato de seguro multirriesgo industrial – Incumplimiento del deber de diligencia

En primer lugar, cabe mencionar que la cobertura por pérdida de beneficios, especialmente en los contratos de seguro multirriesgo para actividades industriales, no es obligatoria y puede o no ser contratada y, por

Leer más

Presentar la declaración del IRPF fuera de plazo: qué puede hacer todavía y qué consecuencias puede tener

El 30 de junio de 2025 ha finalizado el plazo para presentar la declaración de la Renta Modelo 3 correspondiente al ejercicio 2024. Sin embargo, aún puede presentarla fuera de plazo, lo que

Leer más

Transición al Régimen de Exención de IVA – Procedimientos y Obligaciones a partir del 1 de julio de 2025

Los sujetos pasivos actualmente encuadrados en el régimen normal de IVA que cumplan con los requisitos del régimen especial de exención previsto en el artículo 53.º del Código del IVA (CIVA) podrán optar

Leer más

¿Puede renunciarse a la pensión compensatoria en base a un acuerdo prematrimonial?

En un proceso de divorcio la esposa demandante solicita pensión compensatoria. Unos meses antes de contraer matrimonio las partes firmaron ante notario acuerdo prematrimonial expresando, en caso de separación o divorcio, su renuncia

Leer más

El reglamento europeo DORA: Garantías de resiliencia en el sector financiero

Introducción En el complejo ecosistema digital que caracteriza al sector financiero contemporáneo, la resiliencia operativa se ha convertido en un pilar fundamental que sustenta la confianza de los usuarios en el sistema. La

Leer más