Whitepaper en criptomonedas: requisitos y obligaciones bajo MICA en España
¿Es obligatorio publicar un whitepaper en criptomonedas? Descubre qué exige MICA en España, qué debe incluir el libro blanco y cómo proteger al inversor.
Leer más →
Contratos de outsourcing tecnológico: puntos críticos legales en España
El outsourcing tecnológico permite escalar, contener costes y acelerar proyectos.
Pero delegar desarrollo, soporte o infraestructura implica riesgos legales que deben anticiparse en el contrato.
A continuación, los puntos críticos que recomendamos cubrir —con enfoque España— y por qué marcan la diferencia.
---
1) Alcance y gobierno del servicio
- Objeto y entregables: qué se externaliza, qué queda fuera, hitos de entrega y criterios de aceptación (UAT) por escrito.
- Modelo de prestación: remoto/presencial, entornos (dev/test/prod), accesos y perfiles.
- Gestión de cambios (change requests): cómo se aprueban, plazos de impacto y precios (fijo vs. time & materials).
- Gobernanza: comité de seguimiento, agenda mensual, reporting, KPIs y actas.
📌 Una definición precisa del servicio evita reclamaciones y facilita medir cumplimiento.
---
2) Confidencialidad y no competencia
- NDA robusto: información protegida, usos permitidos, medidas de custodia y duración poscontractual.
- No competencia / no captación (cuando proceda): limitado en objeto, tiempo y territorio, para no bloquear actividad legítima.
Estas cláusulas protegen activos estratégicos (clientes, código, know-how).
---
3) Protección de datos personales (RGPD / LOPDGDD)
Si el proveedor trata datos por cuenta del cliente, éste es responsable y el proveedor encargado del tratamiento.
Debe firmarse un acuerdo de encargo (art. 28 RGPD) que incluya, como mínimo:
- Objeto, duración, naturaleza y finalidad del tratamiento.
- Tipos de datos y categorías de interesados.
- Obligaciones y derechos del responsable.
- Medidas de seguridad.
- Reglas de subencargados (autorización previa).
- Retorno o destrucción de datos al finalizar.
Además, pacta:
- Notificación de incidentes por parte del encargado “sin dilación indebida”.
- Protocolo del responsable para notificar a la autoridad en 72 h (art. 33 RGPD), cuando proceda.
💡 Consejo práctico: valida garantías del proveedor (códigos de conducta o certificaciones) y la localización de datos (EEE o transferencias con garantías).
---
4) Propiedad intelectual (software y entregables)
Pagar un desarrollo no te convierte automáticamente en titular de los derechos de explotación del software.
En España, la titularidad corresponde al autor salvo cesión expresa y por escrito.
Incluye en el contrato una cesión amplia (exclusiva o no exclusiva según el caso), con alcance de:
- Código fuente, documentación y manuales.
- Territorio y plazos.
- Permiso para transformar y crear obras derivadas.
Buenas prácticas complementarias
- Cláusula de escrow de código fuente: depositarlo ante tercero y liberación ante eventos críticos (quiebra, cese de soporte, incumplimiento grave).
No está regulado de forma específica en España, pero es práctica extendida y muy útil para mitigar vendor lock-in.
- Compliance OSS: listar librerías open-source, licencias y obligaciones (avisos, copyleft, etc.).
---
5) Niveles de servicio (SLA), garantías y penalizaciones
Define SLAs medibles: disponibilidad, tiempos de respuesta y resolución, backups, RPO/RTO, ventanas de mantenimiento y escalados.
Vincula créditos de servicio o penalizaciones al incumplimiento (y derecho de resolución si es reiterado).
Incluye períodos de garantía para correcciones de defectos y un calendario de revisiones técnicas.
---
6) Seguridad y continuidad
- Estándares mínimos: controles alineados con ISO 27001/27002 u homólogos; segregación de entornos; principio de mínimo privilegio; cifrado en tránsito y reposo.
- Gestión de incidentes: plazos de detección, comunicación y contención; bitácoras; pruebas de restauración.
- Plan de salida (exit plan) y reversibilidad: migración ordenada, formatos abiertos, cooperación y asistencia razonable para el traspaso.
Esta previsión minimiza interrupciones y dependencia del proveedor.
---
7) Responsabilidad, seguros e indemnidades
- Cap de responsabilidad razonable (p. ej., importes del contrato), con carve-outs para:
- Infracción de PI.
- Brechas de confidencialidad.
- Daños por dolo o negligencia grave.
- Obligaciones de protección de datos.
- Indemnidad por violación de derechos de terceros (PI, secretos) y por sanciones derivadas de incumplimientos del proveedor.
- Seguros: RC profesional y ciber con límites acordes al riesgo.
---
8) Subcontratación y sub-vendors
Exige autorización previa y por escrito para subcontratar partes del servicio.
Alinea las obligaciones de los subcontratistas con las del proveedor (incluido en datos personales, art. 28.2 RGPD).
---
9) Precio y pagos
- Hitos vs. time & materials: vincula pagos a hitos aceptados (con criterios de aceptación claros).
- Retenciones: parte del precio hasta cierre de defectos críticos.
- Revisión de precios: condiciones objetivas para cambios en alcance o tarifas.
---
10) Aspectos laborales (art. 42 ET)
Como empresa cliente, debes comprobar que el contratista está al corriente con la Seguridad Social (certificado de la TGSS).
De lo contrario, puedes responder solidariamente por deudas generadas durante la contrata (exigibles hasta 3 años tras finalizar) y por determinados salarios.
Esta responsabilidad no alcanza deudas anteriores a la contrata.
Cláusulas útiles:
- Obligación del proveedor de mantenerte el certificado actualizado.
- Cumplimiento de deberes de información a trabajadores o Comité cuando aplique.
---
11) Ley aplicable y resolución de disputas
Determina la ley aplicable (España) y el fuero o arbitraje.
Añade un sistema de escalado (negociación / mediación) para resolver incidencias sin judicializar.
---
Checklist rápido para tu contrato
- Objeto, entregables, UAT y change control.
- NDA, no competencia / no captación (si procede).
- Encargo de tratamiento art. 28 RGPD + subencargados + seguridad + salida/retorno de
