Notas sobre las principales cuestiones relacionadas con los contratos de computación en la nube (preparada por la secretaría de la CNUDMI, 2019)
Primera parte. Principales aspectos
precontractuales
A. VERIFICACIÓN DE LA EXISTENCIA DE NORMAS
LEGALES IMPERATIVAS Y OTROS REQUISITOS
El régimen legal aplicable al cliente, al proveedor o a ambos puede imponer ciertas condiciones para la celebración de un contrato de computación en la nube. Esas condiciones también pueden tener su origen en obligaciones contractuales, como las que surgen de las licencias de propiedad intelectual (PI). Las partes deberían prestar especial atención a las leyes y reglamentos en materia de datos personales, protección del consumidor, ciberseguridad, control de las exportaciones, aduanas, impuestos y secretos comerciales, a la
reglamentación específica en materia de PI y a la normativa propia de cada sector que pudieran serles aplicables a ellas mismas y a su futuro contrato. El incumplimiento de los requisitos obligatorios puede acarrear importantes consecuencias negativas, entre ellas la nulidad o la inexigibilidad de la totalidad o una parte del contrato, la imposición de multas administrativas y la responsabilidad penal.
Las condiciones exigidas para celebrar un contrato de computación en la nube pueden variar según el sector y la jurisdicción de que se trate. Por ejemplo, puede requerirse la adopción de medidas especiales para proteger los derechos de los sujetos de los datos, el despliegue de un determinado modelo (por ejemplo, nube privada en lugar de pública), el cifrado de los datos alojados en la nube y el registro ante organismos públicos de una operación o un programa informático utilizado en el procesamiento de los datos personales. También pueden exigirse requisitos de ubicación de los datos, así como otras condiciones relacionadas con el proveedor.
Ubicación de los datos
Los requisitos de ubicación de los datos pueden derivarse en particular de la legislación aplicable a los datos personales, los datos contables y los datos del sector público, así como de las leyes y reglamentos de fiscalización de las exportaciones que pueden limitar la transmisión de determinados programas informáticos o información hacia o desde determinados países o regiones. Será de suma importancia para las partes cumplir los requisitos de ubicación de los datos establecidos en la ley aplicable, los que no podrán dejarse sin efecto por la vía del contrato.
Los requisitos de ubicación de los datos también pueden emanar de obligaciones contractuales (por ejemplo, licencias de PI en las que se exija que el contenido bajo licencia se almacene en los servidores seguros del propio usuario). También es posible que se prefiera establecer requisitos de ubicación de los datos por razones puramente prácticas, por ejemplo, para reducir la latencia, lo que puede ser especialmente importante en las operaciones en tiempo real, como las de tipo bursátil. (Leer mas sobre las medidas de salvaguardia que pueden incluirse en el contrato respecto de la ubicación de los datos.
Elección de la parte contratante
La elección de una parte contratante puede estar limitada no solo por las condiciones del mercado sino también por disposición de la ley. Es posible que exista una prohibición legal de celebrar contratos de computación en la nube con personas o entidades extranjeras, de determinadas jurisdicciones o que no hayan sido acreditadas ante los organismos públicos competentes o no hayan recibido certificación de estos. También puede supeditarse la prestación de servicios de computación en la nube por parte de una persona o entidad extranjera en una jurisdicción determinada a que esa persona o entidad constituya una empresa mixta con una entidad nacional u obtenga determinadas licencias y permisos locales, entre ellos permisos de exportación. En la elección de la parte contratante también pueden influir los requisitos de ubicación de los datos (véanse los párrs. 10 y 11 supra), así como las disposiciones legales por las que se obligue a alguna de las partes a comunicar datos y otros contenidos a organismos públicos extranjeros o a facilitar el acceso de esos organismos a dichos datos o contenidos.