Cómo revisar un contrato de proveedor antes de firmar

1. Empezá por las cláusulas de responsabilidad

La cláusula de límite de responsabilidad es la más modificada por los proveedores y la que más impacto tiene en caso de incidente. En un contrato estándar, la responsabilidad del proveedor debería ser equivalente a al menos 6 a 12 meses de facturación. Cuando un proveedor reduce ese límite a 1 mes o menos, está descargando prácticamente todo el riesgo operativo sobre tu empresa. Prestá especial atención a si el contrato excluye "daños indirectos", "lucro cesante" o "pérdida de datos" — estas exclusiones pueden hacer que un límite de responsabilidad aparentemente razonable sea en la práctica inaplicable.

2. Revisá los plazos de notificación de incidentes

En cualquier contrato que involucre procesamiento de datos personales o información confidencial, el proveedor debe comprometerse a notificarte ante cualquier brecha de seguridad dentro de las 72 horas. Este plazo no es arbitrario: es el estándar internacional establecido por el GDPR y adoptado por la mayoría de las regulaciones de protección de datos en LATAM, incluyendo la Ley 25.326 en Argentina. Un proveedor que modifica ese plazo a "30 días hábiles" o "lo antes posible" está dejando la puerta abierta a notificarte semanas después de un incidente, cuando el daño ya es irreversible.

3. Verificá la jurisdicción y ley aplicable

Este punto es crítico para empresas argentinas o latinoamericanas que contratan proveedores internacionales. Si el contrato establece que cualquier disputa se resuelve en los tribunales de Delaware, Nueva York o cualquier jurisdicción extranjera, el costo de litigar hace que reclamar sea económicamente inviable en la mayoría de los casos. El proveedor lo sabe. Insistí en que la jurisdicción sea la del país donde opera tu empresa, o al menos acordá un mecanismo de arbitraje internacional como la ICC o la UNCITRAL.

4. Analizá los SLAs de disponibilidad con atención al detalle

Un SLA de 99,9% mensual y uno de 99% anual suenan parecidos pero son muy diferentes. El primero permite un máximo de 43 minutos de caída por mes. El segundo permite hasta 87 horas por año, concentradas potencialmente en un solo evento. Además del porcentaje, revisá el mecanismo de compensación: los créditos automáticos son muy distintos a los que requieren "solicitud formal dentro de los 5 días hábiles". En la práctica, muy pocas empresas reclaman créditos manuales, y el proveedor lo sabe.

5. Controlá las cláusulas de subcontratación

Si contratás a un proveedor de infraestructura cloud, seguridad o desarrollo, necesitás saber quién va a tener acceso real a tus datos y sistemas. Un contrato que permite subcontratación libre sin aprobación previa puede hacer que tu información termine en manos de terceros que nunca evaluaste. Exigí que cualquier subcontratación de componentes críticos requiera aprobación escrita de tu parte, y que el proveedor principal mantenga responsabilidad solidaria sobre los subcontratistas.

El problema con la revisión manual

Una revisión contractual exhaustiva de estas 5 áreas, sobre un contrato de 20 páginas con track changes, le lleva entre 2 y 5 días a un equipo legal interno. Si no tenés abogado propio, dependés de un estudio externo con tiempos y costos que no siempre se justifican para contratos de menor valor. El resultado práctico es que la mayoría de las empresas firman contratos sin revisar todas las modificaciones, especialmente cuando hay presión de tiempo para cerrar el acuerdo.

¿Querés detectar estos riesgos automáticamente?

RiskLens analiza el contrato de tu proveedor, identifica todas las modificaciones respecto al original y clasifica cada cambio por nivel de riesgo. En minutos, no en días.