¿Cuál es la responsabilidad jurídica de un CIO en caso de colapso del servicio?
Reino Unido multó recientemente al CIO de una entidad bancaria que sufrió una interrupción de servicio que afectó a millones de clientes. ¿Es este caso extrapolable a España?
El pasado mes de abril, autoridades inglesas impusieron una multa de 81.000 libras a Carlos Abarca, exCIO del banco TSB, por la interrupción del servicio TI en 2018, incidente que dejó a millones de clientes sin acceso a sus cuentas.
La noticia, que recogía entonces The Guardian, explicaba que la Autoridad de Regulación Prudencial (PARA) consideró que Abarca “no tomó las medidas razonables” para garantizar que la empresa subcontratada para migrar los sistemas estaba preparada para este fin. El ejecutivo, mantenían, transmitió a la junta directiva que el proveedor estaba listo para la migración sin contar con las garantías adecuadas de parte del propio proveedor.
¿Por qué se ha dirigido la sanción directamente a la persona física? ¿Podría extrapolarse este caso a España con el Banco de España como demandante? “Es un caso muy basado en el derecho inglés”, explica Rafael García del Poyo, abogado y socio de Osborne Clarke, en una conversación telefónica con CIO España. “En España quizá el sistema funcionaría de una forma diferente. Lo que ocurriría sería que la responsabilidad recaería sobre la persona jurídica, sin que ello sirva de menoscabo para que luego ésta pueda pedir responsabilidad a la persona” en caso de haber habido una negligencia grave o haya sido de manera intencionada.
En efecto, la multa que la máxima autoridad bancaria inglesa impuso al directivo se enmarca en el régimen regulatorio de altos directivos de Reino Unido, que tiene como objetivo responsabilizar a las personas físicas con responsabilidad profesional cuando algo va mal.
Es fundamental, por tanto, prestar atención a las leyes vigentes y al marco jurídico o la jurisdicción del país donde ocurran los hechos. Es aquí donde se determina la responsabilidad.
Para García del Poyo, un hipotético caso de estas características en nuestro país requiere un análisis de “la responsabilidad que tienes dentro del ámbito de tu tarea profesional en el marco de las actividades que realizas como tal”. No obstante es importante determinar “cuáles son las conductas que se le atribuyen a cada persona en función de si es un error, de si es un daño, un accidente, un incidente o un ataque de terceros”, explica. “Habría que determinar con mucho detalle qué es lo que se atribuye a las personas y hacer un juicio de atribución de responsabilidades correcto”, recomienda.
¿Cuál es el papel del proveedor de tecnología?
Se trata de un “ámbito distinto”, defiende García del Poyo. El caso de la multa al exCIO del TBS se enmarca en una relación laboral. Cuando se trata de definir responsabilidades entre empresas y proveedores de servicio la relación es mercantil.
En estos casos es fundamental “hacer una atribución de responsabilidades adecuada, acorde a las circunstancias y al servicio que se esté contratando” y en función de esto repartir responsabilidades.
Este procedimiento se sintetiza en los acuerdos de nivel de prestación de servicio. Aquí se determinan los plazos de funcionamiento, los servicios externalizados, los procesos que se ven afectados por ello y, en función de esto, se establecen variables e incluso indicadores de ejecución de trabajo o KPI. Es aquí donde se define la responsabilidad del proveedor contratado y de la empresa contratante.
