Contenido del artículo
.png&w=3840&q=75)
Descubra cómo las regulaciones suizas impactan los riesgos de terceros. Aprenda a proteger su empresa, garantizar el cumplimiento y prosperar en un panorama regulatorio complejo.
A medida que se asocia con más proveedores y suministradores para ampliar sus capacidades y obtener una ventaja competitiva, sus riesgos reputacionales y regulatorios también aumentan.
Forrester predijo que en 2022, el 60 % de todos los incidentes de seguridad se originarían en problemas de terceros, lo que subraya la importancia de la gestión de las relaciones con terceros.
En un entorno altamente regulado como Suiza, garantizar que los proveedores y socios nuevos y existentes no representen una amenaza significativa para sus operaciones y reputación es primordial.
En este artículo, exploramos la importancia de la gestión del riesgo de terceros (TPRM) en relación con el panorama regulatorio en Suiza. Examinaremos algunas regulaciones clave en Suiza, como la Ley Federal de Protección de Datos (FADP), la Circular 2018/3 y la Ley de Blanqueo de Capitales (AMLA), y analizaremos sus implicaciones para la gestión de las relaciones con terceros.
El marco regulatorio suizo
El enfoque de Suiza respecto a su marco regulatorio enfatiza la autorregulación (especialmente en el sector bancario) en parte, y la flexibilidad y cooperación entre agencias gubernamentales y empresas privadas.
Este enfoque garantiza que las regulaciones se adapten a riesgos específicos propios de cada industria, permitiendo flexibilidad mientras se mantienen altos estándares regulatorios sin frenar la innovación.
Las regulaciones clave que afectan a las relaciones con terceros incluyen la Ley Federal de Protección de Datos (FADP), que exige requisitos estrictos de tratamiento y compartición de datos, especialmente al trabajar con proveedores de servicios externos.
La Circular 2018/3 emitida por la Autoridad Suiza de Supervisión del Mercado Financiero (FINMA) establece directrices específicas para la externalización de funciones empresariales del sector financiero suizo.
Las recientes actualizaciones de la Ley de Blanqueo de Capitales (AMLA) reflejan el compromiso del país con la lucha contra la delincuencia financiera, como el blanqueo de capitales y la financiación del terrorismo.
Además, la Ordenanza sobre la diligencia debida y la transparencia en relación con minerales y metales de zonas afectadas por conflictos y trabajo infantil subraya el compromiso del país con cadenas de suministro éticas y los derechos humanos.
A continuación, examinamos estas regulaciones y destacamos los requisitos esenciales centrados en las relaciones con terceros.
Protección de datos y ciberseguridad

La Ley Federal de Protección de Datos (FADP) es la regulación principal que rige el tratamiento y la transferencia de datos personales en Suiza para proteger la privacidad de datos de las personas jurídicas.
Además de la ley mencionada, el Comisionado Federal de Protección de Datos e Información (FDPIC) ha publicado ordenanzas, en particular la Ordenanza sobre Protección de Datos (ODP) y la Ordenanza sobre Certificación de Protección de Datos, para aclarar y concretar algunas de las disposiciones de la FADP.
La FADP se aplica al tratamiento de datos que «tengan efecto en Suiza, aunque se hayan iniciado en el extranjero». La ley abarca la recopilación, almacenamiento, modificación, divulgación a terceros, archivo u otros usos de datos personales.
Estas son las características significativas de la FADP y las ordenanzas, principalmente en lo que respecta a las relaciones con terceros:
- Las empresas no necesitan una base legal para recopilar y tratar datos personales. Sin embargo, la FADP establece condiciones bajo las cuales las empresas pueden requerir el consentimiento del usuario.
- El consentimiento debe ser libre y específico para las actividades exactas de tratamiento que la empresa pretende realizar con los datos.
- Las empresas suizas también deben garantizar que los datos personales que reciben de otras empresas se ajusten a los fines comunicados a los titulares de los datos durante la recopilación.
- Las empresas requieren el consentimiento del usuario para divulgar «datos personales sensibles» a terceros.
- Las organizaciones deben informar a los usuarios sobre los terceros que recibirán sus datos personales. Esto incluye tanto destinatarios con sede en Suiza como fuera de Suiza.
- La divulgación anterior también debe incluir salvaguardas para proteger los datos personales del usuario.
- La FADP obliga a las empresas y a los terceros a garantizar que los datos de los usuarios estén seguros y protegidos, preservando la integridad, confidencialidad y disponibilidad de los datos recopilados.
- En línea con este requisito, ambas partes deben evaluar los riesgos potenciales para los usuarios y garantizar que cuentan con la infraestructura informática y las medidas de seguridad adecuadas.
- La FADP permite la transferencia de datos al extranjero a jurisdicciones con protecciones adecuadas y a aquellas sin ellas. El Consejo Federal proporciona una lista de jurisdicciones con protecciones adecuadas en el Anexo 1 de la Ordenanza.
- Transferir datos a países sin protecciones de datos adecuadas requiere que las empresas establezcan salvaguardas apropiadas, como cláusulas contractuales tipo (SCC), normas corporativas vinculantes (BCR) y cláusulas contractuales en acuerdos entre la empresa y terceros.
- Las empresas suizas y los terceros deben mantener un registro de todas las actividades de tratamiento. Esta disposición no se aplica a empresas con más de 250 empleados, siempre que exista un riesgo insignificante de que se infrinjan los derechos de los usuarios.
- Las empresas deben realizar una evaluación de impacto en la protección de datos (DPIA), especialmente cuando el tratamiento de datos requiera datos personales sensibles a gran escala.
- Las organizaciones están obligadas a informar al FDPIC de filtraciones de datos que supongan un alto riesgo para los usuarios. Si bien la FADP no estableció un plazo específico, se insta a las empresas a hacerlo «lo más rápido posible».
- El informe debe incluir detalles como la naturaleza de la filtración, su cronología, categorías y número de datos personales y usuarios afectados, el impacto de la filtración y los riesgos potenciales para los titulares de los datos, y las medidas adoptadas para mitigar los posibles efectos sobre los titulares de los datos.
- En virtud de la FADP, las empresas suizas deben borrar o anonimizar adecuadamente los datos personales cuando ya no los necesiten para el fin para el que los recopilaron.
- Las empresas y los terceros deben suscribir un acuerdo que establezca dos objetivos de control para las organizaciones suizas.
- En primer lugar, el acuerdo debe vincular al tercero a las funciones de tratamiento que la empresa puede realizar. En segundo lugar, el acuerdo debe garantizar que el encargado del tratamiento tercero proporcione seguridad de datos de última generación.
Aproveche el conjunto de herramientas de ciberseguridad y privacidad de datos de Supplier Shield para mantener los datos personales de los usuarios seguros y protegidos conforme a las regulaciones suizas.
Adquisición tecnológica u outsourcing

Aunque Suiza no dispone de una ley general sobre la adquisición de productos y servicios tecnológicos para empresas privadas, las regulaciones sectoriales guían la externalización de funciones empresariales materiales a proveedores de servicios terceros.
La Circular 2018/3 de la Autoridad Suiza de Supervisión del Mercado Financiero (FINMA) establece los requisitos regulatorios que deben cumplir los participantes en el mercado financiero, incluidos bancos, compañías de seguros y corredores de valores, mientras que obligaciones de secreto vinculan a industrias como las telecomunicaciones y la sanidad.
Algunos de los aspectos destacados de la Circular 2018/3 incluyen:
- Ciertas funciones no pueden externalizarse, como las relacionadas con decisiones estratégicas, gestión de riesgos y tareas de cumplimiento regulatorio, «salvo aquellas de naturaleza operativa».
- Según la circular, las empresas que deseen externalizar funciones deben mantener un inventario de todas las funciones externalizadas, indicando claramente el departamento o departamentos responsables de las funciones externalizadas. Dicho inventario también debe identificar al proveedor de servicios.
- El inventario anterior también debe incluir si la función externalizada implicará la transferencia de datos masivos de identificación de clientes a un proveedor de servicios extranjero.
- Las empresas del sector financiero deben realizar un análisis de riesgos en función de consideraciones económicas y operativas antes de acordar con un tercero.
- En particular, la institución financiera debe evaluar los riesgos potenciales de concentración si se externalizan múltiples funciones al mismo proveedor.
- Además, la empresa debe evaluar las capacidades profesionales y los recursos financieros y humanos del tercero para determinar si el proveedor de servicios puede ofrecer dichos servicios de forma permanente.
- Las empresas que externalizan deben definir contractualmente los requisitos de seguridad del acuerdo y establecer un plan de contingencia para la ejecución continuada de la función externalizada en caso de emergencia.
- La externalización a terceros extranjeros está permitida siempre que los auditores y FINMA puedan ejercer su función regulatoria en cualquier momento.
El marco suizo de lucha contra el blanqueo de capitales
.png&w=3840&q=75)
La Ley de Blanqueo de Capitales (AMLA) y la Ordenanza de Blanqueo de Capitales (AMLO) son la base del panorama de lucha contra el blanqueo de capitales (AML) para intermediarios financieros en Suiza.
La AMLA se aprobó en 1997 y ha sufrido múltiples modificaciones a lo largo de los años. Una de sus actualizaciones más recientes fue en 2021, con cambios específicos para las relaciones con terceros.
La nueva actualización exigió a los bancos suizos y a empresas como los casinos verificar la titularidad real (UBO) de todas las organizaciones con las que trabajan.
La UBO se refiere a «la(s) persona(s) física(s) que en última instancia posee o controla a un cliente y/o la persona física en cuyo nombre se realiza una transacción».
Las instituciones financieras suizas también deben cumplir otros requisitos, como implementar las medidas organizativas necesarias para frenar el blanqueo de capitales.
Ha habido un escrutinio mucho mayor del sector bancario, con el Banco Nacional Suizo y FINMA trabajando juntos para crear leyes del mercado financiero más estrictas tras la crisis de Credit Suisse.
Diligencia debida en la cadena de suministro
Las empresas expuestas a posible trabajo infantil y minerales de conflicto deben divulgar estos riesgos.
Las empresas que importan o procesan estaño, tantalio, tungsteno u oro procedente de zonas de conflicto están sujetas a la «Ordenanza sobre la diligencia debida y la transparencia en relación con minerales y metales de zonas afectadas por conflictos y trabajo infantil» si las importaciones totales alcanzan un umbral especificado.
Más importante aún, las empresas suizas con operaciones de cadena de suministro o socios en jurisdicciones con alto riesgo de trabajo infantil están igualmente sujetas a obligaciones de diligencia debida e informes. Según la ordenanza, los países de alto riesgo tienen clasificación Enhanced o Heightened en el informe Children's Rights in the Workplace Index.
También se han propuesto nuevas regulaciones dirigidas a las obligaciones actuales de informes no financieros, que se modelarán según la Directiva de Información Corporativa sobre Sostenibilidad (CSRD) de la Unión Europea.
Importancia del TPRM para las empresas suizas
.png&w=3840&q=75)
Según una encuesta de Gartner, el 84 % de los encuestados informó de interrupciones operativas debidas a acciones, actividades e incidentes de un proveedor tercero.
Además, el 64 % y el 60 % informaron de impacto financiero adverso y mayor escrutinio regulatorio debido a incidentes de terceros fuera de su control.
Estas respuestas de la encuesta subrayan los riesgos inherentes crecientes asociados a proveedores, suministradores y prestadores de servicios terceros. Si bien estas asociaciones aportan sin duda valor operativo y ventaja competitiva, también exacerban los riesgos existentes e introducen otros nuevos y significativos.
Una gestión eficaz del riesgo de terceros (TPRM) es crucial para mitigar estos riesgos y desbloquear los beneficios de las relaciones con terceros.
El alto coste de descuidar el TPRM
Las consecuencias de no tener o tener un TPRM inadecuado pueden ser catastróficas.
Las filtraciones de datos, los ciberataques y los fallos operativos en un tercero pueden resultar en pérdidas financieras directas debido a costes de remediación, gastos legales e ingresos perdidos.
La reciente interrupción debida al fallo de software de Crowdstrike es un ejemplo claro, con la interrupción costando a las empresas Fortune 500 más de 5.000 millones de dólares solo en pérdidas directas. El CEO de Delta afirma que la empresa perdió más de 500 millones de dólares debido a la interrupción informática. La misma interrupción provocó interrupciones en muchos aeropuertos suizos.
Si bien puede resultar difícil eliminar por completo interrupciones como la anterior, un marco sólido de TPRM garantiza que haya realizado una evaluación integral de riesgos y preparado un plan de contingencia para mitigar los riesgos identificados.
Aparte de la pérdida de ingresos, otros problemas potenciales derivados de un TPRM deficiente incluyen:
Daño reputacional
Un incidente de terceros puede dañar gravemente la marca y la confianza del cliente de una organización. Esto puede provocar pérdida de clientes, disminución de cuota de mercado y dificultades para atraer nuevos negocios.
Glencore fue multada recientemente con CHF 2 millones por no adoptar «las medidas organizativas requeridas y razonables respecto al soborno de funcionarios públicos extranjeros por parte de un socio comercial».
Debido a su reputación manchada, el Departamento Federal de Asuntos Exteriores de Suiza puso fin a su acuerdo de patrocinio con Glencore.
Reduzca la exposición a proveedores y suministradores que puedan dañar su reputación ganada con esfuerzo gracias a Supplier Shield, la solución TPRM líder diseñada para velocidad y precisión.
Sanciones regulatorias
El incumplimiento de regulaciones de privacidad de datos, seguridad o sectoriales debido a fallos de terceros puede resultar en multas elevadas, repercusiones legales e imposibilidad de operar en ciertas jurisdicciones.
En Suiza, las empresas y los encargados del tratamiento terceros pueden enfrentar multas de hasta CHF 250.000 (280.000 dólares) si se demuestra que han violado intencionadamente las leyes de protección de datos.
Interrupción del negocio
Las interrupciones operativas causadas por problemas de terceros pueden impactar las cadenas de suministro, el servicio al cliente y la continuidad general del negocio.
Hace poco, en agosto de 2024, la empresa suiza Schlatter Group no pudo acceder a partes de su red informática tras un ataque de ransomware.
Los beneficios de adoptar el TPRM
.png&w=3840&q=75)
Un TPRM bien planificado puede mitigar los riesgos anteriores y ofrecer beneficios sustanciales como:
Mayor eficiencia
Al centralizar y automatizar muchos aspectos del proceso de TPRM, puede agilizar la evaluación, incorporación y monitorización de proveedores, liberando recursos y permitiendo una actitud más proactiva.
Además, la monitorización de terceros es tediosa y continua, y tener la capacidad de automatizar dicho proceso aumenta su eficiencia.
Cumplimiento regulatorio mejorado
Con muchas regulaciones y leyes complejas e interconectadas tanto a nivel nacional como internacional, es bastante fácil que se escapen cosas.
Un programa sólido de TPRM le ayuda a adelantarse a los requisitos regulatorios actuales y en evolución, garantizando que los terceros cumplan los estándares necesarios.
Cuando a los encuestados de una encuesta de EY se les preguntó en qué medida el TPRM había mejorado su capacidad para cumplir los requisitos regulatorios, el 44 % eligió «algo», el 29 % «moderadamente» y el 8 % «mucho». Solo el 2 % eligió «nada en absoluto», lo que subraya cómo el TPRM ayuda con el cumplimiento regulatorio.
Resiliencia y adaptabilidad a un entorno regulatorio en constante cambio
Un enfoque proactivo del TPRM le permite identificar interrupciones potenciales de forma temprana y desarrollar planes de contingencia, mejorando su capacidad para resistir las amenazas que plantean estos riesgos.
Elaborar planes de contingencia para procesos empresariales críticos garantiza que sufra pocas o ninguna interrupción incluso cuando los terceros sufran la misma.
Además, surgen regularmente nuevas leyes y regulaciones. Si opera en múltiples jurisdicciones, mantenerse al día con estos cambios añade otra capa complicada a un desafío ya complejo.
La gestión del riesgo de terceros proporciona las herramientas y procesos necesarios para navegar eficazmente este entorno complejo. Cuando se preguntó cuánto había mejorado el TPRM su resiliencia, el 41 % de los encuestados respondió «moderadamente» o «muy alto».
Capacidad de hacer negocios con entidades de otros países
Un programa eficaz de TPRM puede facilitar la expansión empresarial al permitirle asociarse con confianza con nuevos proveedores, incluidos aquellos en mercados regulados como la UE.
La Ley de Resiliencia Operativa Digital (DORA), por ejemplo, enfatiza la importancia de la gestión del riesgo de terceros para las instituciones financieras que operan en la UE.
Garantizar que usted y sus socios cumplan regulaciones como DORA, GDPR y NIS2 le permite relacionarse con entidades europeas, proporcionando retorno sobre sus inversiones en TPRM.
Aproximadamente el 77 % de los encuestados informó de obtener al menos «algo» de retorno sobre sus inversiones en TPRM.
Supplier Shield garantiza que sus proveedores o suministradores cumplan las regulaciones DORA, GDPR y NIS2.
Ahorro de costes
Implementar un marco y tecnología de TPRM puede reducir los costes asociados a incidentes de terceros, multas regulatorias y daño reputacional.
Más allá de evitar la pérdida financiera directa por multas e interrupciones del negocio, un TPRM eficaz también puede reducir los costes operativos al agilizar los procesos de gestión de proveedores y garantizar que las relaciones con terceros se gestionen de forma más eficiente.
Además, proteger la reputación de su empresa mediante una gestión continua del riesgo puede ayudarle a evitar las repercusiones financieras a largo plazo de la pérdida de negocio y la disminución de la confianza del cliente.
Aprovechar la tecnología para un TPRM eficaz
.png&w=3840&q=75)
La tecnología desempeña un papel integral en la facilitación de un TPRM eficaz. Plataformas y herramientas avanzadas como Supplier Shield pueden automatizar tareas que consumen mucho tiempo, mejorar la precisión de los datos y proporcionar información en tiempo real sobre el riesgo de terceros.
Los beneficios clave de la tecnología TPRM incluyen:
- Información centralizada de proveedores: una única fuente de verdad para datos y documentación de proveedores, lo que facilita la gestión de proveedores y terceros.
- Evaluaciones de riesgo automatizadas: las soluciones TPRM agilizan el proceso de evaluación de riesgos, permitiéndole evaluar proveedores de forma rápida y eficiente según criterios predefinidos y señales de alerta potenciales.
- Monitorización continua: paneles de monitorización en tiempo real del rendimiento de proveedores y amenazas externas le permiten abordar riesgos emergentes de forma proactiva.
- Informes y analítica: capacidades integrales de informes y analítica proporcionan información valiosa sobre su exposición al riesgo de terceros y tendencias.
Conclusión: proteger su empresa mediante una gestión eficaz del riesgo de terceros
El complejo panorama regulatorio de Suiza y la creciente dependencia de las empresas de terceros subrayan la importancia crítica de contar con un TPRM sólido para su negocio.
Una estrategia y marco de TPRM bien estructurados, junto con tecnología avanzada, son esenciales para navegar los desafíos planteados por las relaciones con terceros.
Invertir en un enfoque integral y tecnología puede construir resiliencia, mejorar la eficiencia operativa, proteger celosamente su reputación y agilizar el proceso de evaluación e incorporación de proveedores.
Tome el control de sus relaciones con proveedores hoy. Comience su recorrido con Supplier Shield y garantice que su empresa se mantenga conforme, segura y por delante de los riesgos. Regístrese ahora para una prueba gratuita y experimente una gestión del riesgo de terceros simplificada.
¿Quiere aplicar esto a su ecosistema de proveedores? Vea la plataforma en acción y mapee sus principales riesgos de proveedores en vivo en una demostración.
.png&w=3840&q=75)
.png&w=3840&q=75)