Bienvenidos a las Naciones Unidas
Idioma:
  1. Portada
  2. Notas sobre las principales cuestiones relacionadas con los contratos de computación en la nube (preparada por la secretaría de la CNUDMI, 2019)

Notas sobre las principales cuestiones relacionadas con los contratos de computación en la nube (preparada por la secretaría de la CNUDMI, 2019)

Segunda parte. La redacción del contrato

E. Auditorías y supervisión

Actividades de supervisión

Es posible que las partes necesiten supervisar mutuamente sus actividades para asegurarse de que se cumpla lo estipulado en el contrato y se respete la normativa aplicable (por ejemplo, que el cliente y sus usuarios finales respeten la PUA y las licencias de PI y que el proveedor actúe de conformidad con el SLA y la política de protección de datos). Algunas actividades de supervisión, como las relacionadas con el procesamiento de datos personales, pueden ser obligatorias por disposición de la ley.

Es posible que en el contrato se especifiquen las actividades de supervisión periódicas o recurrentes que se llevarán a cabo y la parte que se encargará de su ejecución, imponiéndose a la otra parte la obligación de facilitar dicha supervisión. Quizás en el contrato también se prevea la posibilidad de realizar actividades de supervisión con carácter excepcional y se contemplen diversas formas de llevarlas a cabo. En el contrato se puede establecer asimismo el deber de notificar a la otra parte y las obligaciones de confidencialidad que se asumirán en relación con esas actividades de supervisión.

Una supervisión excesiva puede afectar a la cantidad o la calidad de los servicios y aumentar el costo de estos. En el contrato se puede pactar la obligación de suspender la supervisión en determinados casos, por ejemplo, cuando esta tenga efectos negativos graves en la cantidad o la calidad de los servicios. Esta preocupación puede plantearse principalmente en el caso de los servicios que deben prestarse casi en tiempo real.

Auditorías y pruebas de seguridad

Es común que se practiquen auditorías y pruebas de seguridad, especialmente para comprobar la eficacia de las medidas de seguridad. En algunos casos deben realizarse por disposición de la ley. El contrato puede contener cláusulas en las que se definan los derechos de ambas partes en materia de auditoría y se establezca el alcance, la frecuencia, las formalidades y el costo de las auditorías. También es posible que el contrato imponga a las partes la obligación de comunicarse mutuamente los resultados de las auditorías o las pruebas de seguridad encargadas por cada una de ellas. Los derechos contractuales o las obligaciones legales de una parte en materia de auditorías y pruebas de seguridad pueden complementarse en el contrato, imponiendo a la otra parte la correspondiente obligación de facilitar el ejercicio de esos derechos o el cumplimiento de esas obligaciones (por ejemplo, permitiéndole que acceda a los centros de datos pertinentes).

Las partes pueden convenir en que las auditorías o las pruebas de seguridad solo sean realizadas por organizaciones profesionales, o en que el proveedor o el cliente puedan optar por encomendar la tarea a una organización profesional. En el contrato se pueden especificar los requisitos que deben reunir esos terceros y las condiciones exigidas para su participación, en particular en lo que respecta a la distribución de los gastos. Las partes pueden estipular medidas especiales para que se realicen auditorías o pruebas de seguridad cada vez que se produzca un incidente, dependiendo de la gravedad y la naturaleza de este (por ejemplo, puede obligarse a la parte responsable del incidente a reembolsar la totalidad o parte de los gastos).

Los términos pertinentes del glosario

Política de uso aceptable (PUA): parte del contrato de computación en la nube celebrado entre el proveedor y el cliente en la que se definen los límites del uso que podrán hacer el cliente y sus usuarios finales de los servicios de computación en la nube previstos en el contrato.

Licencias de propiedad intelectual (PI): acuerdos celebrados entre un titular de derechos de PI (el licenciante) y una persona autorizada a utilizar esos derechos de PI (el licenciatario). En esos acuerdos se suelen imponer restricciones y obligaciones con respecto a la medida y la forma en que el licenciatario o los terceros pueden utilizar la propiedad intelectual objeto de la licencia. Por ejemplo, se pueden conceder licencias para que se haga un uso específico de determinados programas informáticos y contenido visual (diseños, planos e imágenes), con la prohibición de realizar copias, modificaciones o mejoras de dichos programas y contenido y limitando su utilización a un determinado soporte. Las licencias pueden concederse exclusivamente para un mercado en particular (por ejemplo, nacional o (sub)regional) o un cierto número de usuarios o dispositivos, o por un plazo determinado. Es posible que no se permita conceder sublicencias. El licenciante puede exigir que cada vez que se utilicen los derechos de PI se mencione al titular de esos derechos.

Datos personales: datos confidenciales y no confidenciales que pueden utilizarse para identificar a la persona física a la que se refieren esos datos. La definición de datos personales en algunas jurisdicciones puede abarcar cualquier dato o información directa o indirectamente vinculada o relacionada con una persona que haya sido o pueda ser identificada (véase la definición de sujeto de los datos).

Acuerdo de prestación de servicios (SLA): parte del contrato de computación en la nube celebrado entre el proveedor y el cliente en la que se describen los servicios de computación en la nube comprendidos en el contrato y los parámetros a que se espera o se exige que se ajusten esos servicios de conformidad con el contrato (véase la definición de parámetros cuantitativos y cualitativos).