Contrato de Servicios de TI Outsourcing México (CCF art. 2606 y LFPPI art. 68)

Bajo el derecho de propiedad intelectual mexicano, la titularidad del software desarrollado por un contratista externo de TI depende enteramente de lo que establezca el contrato — la regla predeterminada favorece al contratista, no al cliente. La Ley Federal del Derecho de Autor (LFDA) artículo 83 protege el software como obra literaria con derecho de autor desde el momento de su creación, otorgando el derecho de autor al autor (el desarrollador o desarrolladores que lo crearon). Para empleados que desarrollan software en el curso de su empleo, el LFPPI artículo 68 asigna la titularidad al patrón. Para contratistas independientes (prestadores de servicios independientes), sin embargo, no existe asignación automática equivalente — el contratista es titular del derecho de autor de forma predeterminada salvo que el contrato contenga una cesión expresa de derechos de propiedad intelectual (cesión de derechos de propiedad intelectual) que transfiera todos los derechos de propiedad intelectual al cliente. Una cláusula de cesión de propiedad intelectual para software en México debe: ceder expresamente todos los derechos de autor patrimoniales presentes y futuros (derechos patrimoniales de autor) en el software al cliente; cubrir código fuente (código fuente), código objeto (código objeto), documentación y obras derivadas (obras derivadas); ser firmada por los desarrolladores individuales si son autores nombrados, no sólo por la empresa contratista; y cumplir con los requisitos formales del LFDA artículo 30 para cesiones de propiedad intelectual por escrito.

Los proveedores de TI outsourcing que acceden o tratan datos personales de clientes en México están sujetos a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP, DOF 5 de julio de 2010) como encargados (encargados) del tratamiento de datos. El LFPDPPP artículo 50 exige que la relación de tratamiento de datos quede documentada en un contrato de encargo de tratamiento (contrato de encargo de tratamiento) escrito que especifique: los fines para los que el encargado puede tratar los datos personales; las medidas de seguridad (medidas de seguridad) a implementar conforme al Reglamento de la LFPDPPP; la prohibición de transferencia posterior de datos personales a terceros sin consentimiento escrito del responsable; y las obligaciones al término del contrato (devolución o destrucción de datos). El LFPDPPP artículo 19 exige que tanto el responsable como el encargado implementen medidas de seguridad administrativas, físicas y técnicas para proteger los datos personales contra pérdida, robo, acceso no autorizado o divulgación no autorizada.

La reforma de abril de 2021 a la Ley Federal del Trabajo (LFT) cambió profundamente la estructura legal del outsourcing de TI en México. La reforma prohibió el modelo tradicional de outsourcing (outsourcing de personal) — bajo el cual una empresa de personal proveía trabajadores que realizaban las actividades permanentes del cliente — y lo sustituyó por un marco de servicios especializados. Conforme al reformado Artículo 13 de la LFT, el outsourcing de TI se permite únicamente cuando: los servicios son especializados, es decir, no forman parte del objeto social preponderante de la empresa cliente; el prestador de servicios de TI está registrado en el REPSE que mantiene la STPS, con renovación requerida cada tres años; el proveedor de TI asegura que todos los trabajadores asignados al cliente estén debidamente registrados ante el IMSS y el INFONAVIT; tanto el cliente como el proveedor de TI presentan un aviso conjunto anual ante la STPS que confirma la relación de outsourcing; y el cliente verifica el registro ante el IMSS y el cumplimiento de la PTU (reparto de utilidades) del proveedor de TI al menos trimestralmente. La reforma a la LFT creó una responsabilidad subsidiaria para la empresa cliente — si el proveedor de outsourcing de TI no paga a los trabajadores sus cuotas del IMSS, salarios o reparto de utilidades, la empresa cliente puede ser considerada responsable subsidiaria. Los contratos de outsourcing de TI firmados después de abril de 2021 deben regular el cumplimiento del REPSE, la verificación del registro de los trabajadores y las obligaciones de cumplimiento de subcontratación del cliente para evitar una responsabilidad laboral solidaria inadvertida.

Aunque México aún no cuenta con una ley nacional integral de ciberseguridad, los contratos de outsourcing de TI deben regular obligaciones de ciberseguridad derivadas de múltiples marcos regulatorios que se traslapan. Los requisitos clave de ciberseguridad para incluir en un contrato mexicano de outsourcing de TI: cumplimiento de la ISO 27001 (NMX-I-27001-NYCE) — el estándar de referencia para los sistemas de gestión de seguridad de la información, cada vez más exigido por las grandes empresas y los reguladores del sector financiero; medidas de seguridad de la LFPDPPP — el Reglamento de la LFPDPPP y los lineamientos del INAI exigen que los datos personales se protejan mediante medidas de seguridad técnicas, administrativas y físicas apropiadas a la sensibilidad de los datos y a los riesgos del tratamiento; requisitos sectoriales — la Circular Única de Bancos (CUB) de la CNBV para clientes del sector financiero, la NOM-004-SSA3-2012 para sistemas de TI del sector salud, y los requisitos de ciberseguridad de la Ley Fintech para clientes de tecnología financiera y de pagos; obligaciones de notificación de incidentes — el contrato debe especificar un plazo de notificación de 24 a 72 horas para incidentes críticos, congruente con las mejores prácticas emergentes y los precedentes de ejecución del INAI; pruebas de penetración — pruebas de penetración anuales por terceros de los sistemas que manejan datos del cliente, con informes de hallazgos entregados al cliente; y el control de acceso bajo el principio de mínimo privilegio para todo el personal del proveedor de TI que accede a los sistemas del cliente. El INAI ha sido cada vez más activo en auditar las medidas de ciberseguridad de los encargados del tratamiento de datos e imponer sanciones por deficiencias de seguridad conforme a la LFPDPPP.

Las transferencias internacionales de datos personales en el contexto del outsourcing de TI — por ejemplo, el envío de datos a servidores de infraestructura en la nube ubicados fuera de México, o la contratación de un equipo de desarrollo de TI en el extranjero que accede a datos de clientes mexicanos — se rigen por los Artículos 36 a 38 de la LFPDPPP y por el Reglamento de la LFPDPPP. Bajo el marco de la LFPDPPP, las transferencias internacionales de datos se permiten cuando: el país receptor proporciona un nivel adecuado de protección equivalente al de la LFPDPPP — el INAI de México ha publicado una lista de países que se consideran con protección adecuada; o el cliente (responsable) y el receptor extranjero firman un acuerdo de transferencia de datos (cláusula de transferencia o contrato de transmisión internacional de datos) que obliga al receptor a las mismas obligaciones de protección de datos que la LFPDPPP; o la transferencia se ubica dentro de una excepción de la LFPDPPP — por ejemplo, las transferencias necesarias para cumplir un contrato del cual el titular de los datos es parte. Los proveedores de servicios en la nube que operan infraestructura global — como AWS, Microsoft Azure y Google Cloud — típicamente usan adendas de tratamiento de datos (DPA) que cumplen la LFPDPPP para sus clientes en México. El contrato de outsourcing de TI debe: identificar todos los países a los que pueden transferirse los datos del cliente; confirmar la base legal de cada transferencia; exigir al proveedor de TI mantener registros de los mecanismos de transferencia internacional; y notificar al cliente cualquier nueva transferencia internacional antes de que ocurra.

Las disposiciones de transición en un contrato de outsourcing de TI regulan lo que ocurre al término del contrato — ya sea por expiración, rescisión por causa o terminación por conveniencia — y son críticas para asegurar la continuidad del negocio de la empresa cliente. Las disposiciones de transición esenciales para los contratos mexicanos de outsourcing de TI incluyen: el periodo de asistencia de transición — la obligación del proveedor de TI de brindar soporte durante un periodo determinado, típicamente de 3 a 12 meses según la complejidad del contrato, tras el aviso de terminación, durante el cual el proveedor continúa los servicios en los niveles contratados mientras coopera con el cliente y su proveedor sustituto para una transferencia ordenada; la transferencia de conocimiento — la entrega de la documentación técnica completa, los diagramas de arquitectura del sistema, los procedimientos operativos, los parámetros de configuración y los manuales de operación (runbooks) que permitan al cliente o a un proveedor sustituto operar los sistemas de manera independiente; la devolución de datos — la devolución de todos los datos del cliente en formatos estándar y no propietarios dentro de un plazo determinado tras la terminación; el acceso a sistemas — la provisión al cliente de todas las credenciales de sistema, llaves de cifrado, llaves de licencia y credenciales de acceso al término del contrato; la entrega de propiedad intelectual — la entrega de todo el código fuente, la documentación y los activos de PI relacionados cedidos al cliente conforme al contrato; y la certificación de borrado de datos — el borrado certificado de todos los datos del cliente de los sistemas del proveedor, con una constancia de borrado certificado por escrito entregada al cliente.

Los contratos de TI outsourcing en México típicamente incluyen un Acuerdo de Nivel de Servicio (ANS) que define métricas medibles de desempeño. Las métricas estándar de ANS en el mercado mexicano de TI incluyen: disponibilidad del sistema (disponibilidad del sistema) — expresada como porcentaje de tiempo activo mensual, por ejemplo 99.9% para sistemas de producción críticos (lo que permite aproximadamente 43 minutos de tiempo de inactividad por mes); tiempos de respuesta a incidentes (tiempos de respuesta a incidentes) — por nivel de severidad: crítico (afecta todas las operaciones) 15 minutos, alto 1 hora, medio 4 horas, bajo 8 horas hábiles; tiempos de resolución de incidentes (tiempos de resolución) — crítico 4 horas, alto 8 horas hábiles, medio 24 horas hábiles, bajo 72 horas hábiles; y tiempo de respuesta a solicitudes de servicio (tiempo de respuesta a solicitudes de servicio) para solicitudes estándar de cambio o incorporación. Las consecuencias del incumplimiento del ANS deben estar expresamente establecidas — generalmente créditos de servicio (créditos de servicio) como porcentaje de la cuota mensual por cada punto porcentual de disponibilidad perdida, hasta un máximo mensual.

Los contratos de outsourcing de TI y los contratos de desarrollo de software en México comparten la base del contrato de servicios del Artículo 2606 del CCF, pero difieren significativamente en alcance, duración, tratamiento de la PI y asignación del riesgo. Un contrato de outsourcing de TI (contrato de servicios de TI en outsourcing) es típicamente un acuerdo de servicios continuo de largo plazo — que provee operaciones de TI recurrentes, administración de infraestructura, mesa de ayuda o servicios en la nube durante un periodo de uno a cinco o más años. El proveedor presta los servicios desde su propia infraestructura y personal, y el desempeño se mide contra métricas de SLA continuas. Los temas de PI en el outsourcing se refieren principalmente a los derechos de acceso a los sistemas del cliente y a la confidencialidad de los datos del cliente — el proveedor generalmente no crea PI nueva significativa salvo que el desarrollo de software sea un componente. Un contrato de desarrollo de software (contrato de desarrollo de software) es típicamente un acuerdo por proyecto — el proveedor entrega una aplicación o sistema de software específico dentro de un plazo y presupuesto definidos. El tema central de PI es la titularidad del software desarrollado conforme al Artículo 83 de la LFDA y al Artículo 68 de la LFPPI — el contrato debe ceder expresamente la PI al cliente para evitar que el proveedor conserve la titularidad por defecto. Las estructuras de pago también difieren: el outsourcing usa cuotas recurrentes, mientras que el desarrollo de software usa pagos por hito o esquemas de precio fijo. Muchos contratos de outsourcing de TI incluyen un componente de desarrollo — lo que requiere tanto disposiciones de SLA para las operaciones como cláusulas de cesión de PI para el trabajo de desarrollo dentro de un solo contrato integrado.