Qué revisar antes de externalizar la atención al cliente para evitar riesgos

La decisión de externalizar la atención al cliente rara vez se toma con frialdad. Suele llegar cuando el volumen crece más rápido que la capacidad interna, cuando los niveles de servicio empiezan a resentirse o cuando la dirección general presiona para convertir un costo fijo en variable. En ese contexto, la tentación es cerrar el acuerdo con rapidez y dejar para después la letra pequeña. Pero es precisamente esa letra pequeña la que marca la diferencia entre un proyecto de outsourcing que libera capacidad estratégica y uno que termina generando contingencias legales, incidentes de protección de datos y relaciones contractuales tensas con el proveedor. Para una empresa en el Perú, la revisión previa del marco legal y contractual no es un formalismo: es la capa sobre la que se sostiene todo lo demás.

Por qué los riesgos legales se subestiman en el outsourcing

El mercado peruano de contact center vive una fase de expansión sostenida. Según datos del sector, la industria genera más de 27.000 empleos directos y proyecta duplicar esa cifra en los próximos cinco años, impulsada por la exportación de servicios multilingües hacia Chile, España, Colombia y Estados Unidos. Este crecimiento ha multiplicado el número de proveedores, la variedad de modelos de contratación y la presión por salir al mercado con operaciones en marcha en plazos cada vez más ajustados. La consecuencia, visible en cualquier mesa de dirección, es que la revisión legal suele reducirse a un trámite de última hora, cuando ya hay fechas de go-live comprometidas con áreas de negocio.

Ese orden de prioridades tiene un costo. Contratos que se firman con cláusulas genéricas, sin un reparto claro de responsabilidades sobre incidentes, dan pie a disputas difíciles de resolver en caliente. Acuerdos de nivel de servicio redactados en términos cualitativos, sin umbrales medibles, dejan a la operación sin herramientas reales de exigencia. Y, especialmente en el tratamiento de datos de clientes, la falta de un encaje preciso con la Ley N.° 29733 de Protección de Datos Personales del Perú convierte en contingencia lo que debería ser un flujo normal de información. Esta ley, junto con su reglamento y las disposiciones de la Autoridad Nacional de Protección de Datos Personales, establece obligaciones concretas para quien actúa como titular del banco de datos y para quien lo trata por encargo. En una operación de outsourcing, esa distinción no es teórica: determina quién responde ante el titular del dato, ante la autoridad y, llegado el caso, ante un eventual proceso sancionador.

Subestimar estos riesgos suele tener un patrón común. Se asume que el proveedor ya los conoce, se confía en que los contratos modelo están suficientemente cubiertos y se posterga la revisión profunda hasta la fase de implementación. El problema es que, para entonces, la capacidad de negociación ya se ha reducido y cualquier ajuste se traduce en tiempo adicional y en concesiones cruzadas que no siempre favorecen al cliente.

Cláusulas críticas en contratos de externalización

Un contrato de externalización de atención al cliente es, en la práctica, el documento que gobierna la operación durante los siguientes tres a cinco años. Merece, por tanto, un nivel de detalle acorde. Más allá de las cláusulas estándar de cualquier contrato de servicios, hay tres bloques que concentran el grueso del riesgo y en las empresas deberían intervenir directamente antes de firmar.

Responsabilidades y alcance

La primera fuente de conflicto en proyectos de outsourcing es la ambigüedad sobre qué hace exactamente el proveedor y qué sigue siendo responsabilidad del cliente. Los contratos bien diseñados distinguen con precisión el alcance funcional (tipologías de contacto cubiertas, canales atendidos, horarios, idiomas, tipologías excluidas) y el alcance operativo (quién dimensiona, quién forma, quién supervisa la calidad, quién gestiona las excepciones). Esa distinción debe aterrizar en una matriz de responsabilidades, habitualmente un RACI (Responsable, Aprobador, Consultado, Informado), que se incorpore al contrato como anexo vinculante y no como documento de trabajo. Cuando esta matriz se deja fuera del contrato, cualquier incidente termina en una discusión sobre atribuciones que consume tiempo y deteriora la relación.

El alcance también debe contemplar escenarios de evolución. Los volúmenes crecen, los canales cambian, aparecen nuevas tipologías. Un contrato que no prevé mecanismos de revisión del alcance con condiciones, plazos y fórmulas de ajuste económico, obliga a renegociar cada variación desde cero. Ese costo de fricción, acumulado a lo largo de la vigencia del acuerdo, puede neutralizar buena parte de la negociación esperada.

Protección de datos

La externalización de la atención al cliente implica, por definición, el tratamiento de datos personales por parte de un tercero. En el Perú, ese tratamiento se rige por la Ley N.° 29733, su reglamento y las directivas de la Autoridad Nacional de Protección de Datos Personales. El contrato debe reflejar con claridad la condición de cada parte:

• Titular del banco de datos y encargado del tratamiento
• Las finalidades autorizadas
• Las medidas de seguridad exigibles
• El tratamiento de subcontrataciones
• Los plazos y formatos para la devolución o destrucción de la información al término del contrato. 
• La notificación de incidentes de seguridad, con plazos alineados a los establecidos por la autoridad
• Las obligaciones de colaboración ante solicitudes de titulares o requerimientos regulatorios.

Cuando la operación incluye transferencias internacionales de datos, algo frecuente en modelos nearshore u offshore, el contrato debe incorporar las garantías adicionales exigidas por la normativa peruana. Este punto es especialmente sensible en operaciones que exportan servicios desde el Perú hacia otros países, porque el flujo de datos se produce en ambos sentidos y la responsabilidad frente al titular del dato no se diluye por el hecho de estar contratando a un tercero.

Penalizaciones y SLAs

Los acuerdos de nivel de servicio son el mecanismo mediante el cual el contrato traduce expectativas en obligaciones verificables. Para que cumplan esa función deben ser medibles, tener umbrales realistas, contar con fórmulas de cálculo claras y asociarse a penalizaciones proporcionadas. Un SLA sin penalización es una declaración de intenciones; una penalización sin umbral objetivo es una fuente segura de disputa.

La madurez del diseño se nota en el detalle:

• Cómo se calculan los niveles de servicio en periodos de contingencia.

• Qué pasa con las llamadas fuera de horario.

• Cómo se tratan los eventos de fuerza mayor.

• Qué ponderación reciben los distintos canales. 

También se nota en el reparto de incentivos: los contratos más sólidos combinan penalizaciones por incumplimiento con bonificaciones por desempeño sobresaliente, de modo que ambas partes tengan incentivos alineados para elevar el estándar, no solo para evitar el piso.

Cómo asegurar cumplimiento desde el inicio

El cumplimiento normativo y contractual no se verifica al final del proyecto: se diseña desde el primer día. Ese diseño empieza por una fase de due diligence seria sobre el proveedor, que vaya más allá de las referencias comerciales. Implica revisar sus políticas de seguridad de la información, sus certificaciones, su historial de incidentes, sus procedimientos de continuidad de negocio y sus prácticas laborales. En un mercado en el que, como señalan los datos, cerca de 40 empresas operan en el sector y doce concentran el 80% del empleo, la heterogeneidad de estándares es real y la revisión previa permite filtrar riesgos antes de que se conviertan en contingencia.

La fase de transición es el segundo punto crítico. Un cronograma bien construido incluye hitos específicos de cumplimiento: 

• Firma de acuerdos de confidencialidad.
• Formalización del encargo de tratamiento de datos.
• Validación de medidas de seguridad técnica y organizativa.
• Pruebas de continuidad.
• Simulacros de incidente. 

Cuando estos hitos se gestionan como parte del plan de proyecto y no como tareas accesorias, el go-live llega con el marco de cumplimiento efectivamente operativo y no solo documentado. La automatización inteligente ayuda a que esa operación arranque con una base de procesos estables: La combinación de inteligencia artificial y procesos estandarizados reduce la variabilidad en los primeros meses de operación, lo que también reduce el riesgo de incumplimientos asociados a la curva de aprendizaje.

El tercer pilar es la gobernanza continua. Un comité conjunto con cadencia mensual, con KPI definidos y con un registro formal de incidentes y acciones correctivas, convierte el contrato en un instrumento vivo. Sin esa gobernanza, el contrato se archiva y la operación empieza a vivir de acuerdos informales que, al cabo de unos meses, no coinciden con lo firmado. Esa divergencia es el caldo de cultivo de buena parte de los conflictos que terminan en arbitraje.

Errores legales frecuentes en proyectos de outsourcing

Hay un conjunto de errores que se repiten en proyectos muy distintos y que conviene identificar antes de firmar. 

1. El primero es tratar el contrato como un documento legal exclusivo del área jurídica. Cuando operaciones, tecnología y cumplimiento no participan en la redacción, el contrato refleja obligaciones legales pero no captura la realidad operativa. El resultado son cláusulas correctas en el papel pero inaplicables en la práctica.
2. Subestimar la cláusula de salida. Todo contrato termina, por decisión de una de las partes o por vencimiento. Si el acuerdo no regula con precisión la reversibilidad (plazos de transferencia de conocimiento, devolución o destrucción de datos, transición de personal clave, propiedad de scripts y configuraciones, condiciones económicas) el cliente queda atado a un proveedor que, llegado el momento de cambiar, tiene todos los incentivos para dilatar la salida. Una cláusula de salida bien diseñada se negocia al inicio, no al final.
3. Confundir personalización con improvisación. Muchos proyectos arrancan con un nivel de personalización muy alto en el diseño de la operación, pero con procedimientos y documentación poco formalizados. Con el tiempo, esa informalidad genera lagunas: procedimientos que nadie documentó, decisiones que nadie registró, interpretaciones que varían según el interlocutor. Un contrato robusto exige que la personalización venga acompañada de documentación actualizada, accesible y auditable. La experiencia del sector muestra que este punto gana relevancia cuando la operación incorpora inteligencia artificial, ya que el impacto de la IA en la personalización del servicio al cliente exige marcos de gobierno de datos y reglas de decisión bien documentadas, porque lo que no está escrito tiende a desalinearse con rapidez.

Las empresas que abordan la revisión previa con este nivel de detalle no está ralentizando el proyecto: está construyendo las condiciones para que la externalización cumpla lo que promete. El tiempo invertido en revisar alcance, protección de datos, SLAs, salida y gobernanza se recupera con creces en los primeros doce meses de operación, cuando aparecen las primeras tensiones y el contrato empieza a funcionar como lo que es: el marco que protege la relación entre cliente y proveedor.

Asegura tu proyecto de outsourcing desde el punto de vista legal y contractual. Conversemos sobre cómo estructurar un modelo operativo que combine solidez jurídica, niveles de servicio exigentes y capacidad real de acompañamiento a lo largo del contrato.