Bienvenidos a las Naciones Unidas
Idioma:
  1. Portada
  2. Notas sobre las principales cuestiones relacionadas con los contratos de computación en la nube (preparada por la secretaría de la CNUDMI, 2019)

Notas sobre las principales cuestiones relacionadas con los contratos de computación en la nube (preparada por la secretaría de la CNUDMI, 2019)

Segunda parte. La redacción del contrato

J. Responsabilidad

Restricciones legales a la libertad contractual

Si bien en la mayoría de los ordenamientos jurídicos se reconoce generalmente el derecho de las partes contratantes a distribuir los riesgos y la responsabilidad y a limitar o excluir su responsabilidad mediante la inclusión de cláusulas a esos efectos en el contrato, ese derecho suele estar sujeto a ciertos límites y condiciones. Por ejemplo, un factor importante que influye en la distribución de los riesgos y la responsabilidad en lo que respecta al procesamiento de datos personales es la función que asume cada parte en relación con los datos personales alojados en la nube. En algunas jurisdicciones, la ley aplicable en materia de protección de datos impone una responsabilidad mayor al responsable de los datos personales que a los procesadores de esos datos. Aunque en el contrato se estipule otra cosa, el manejo efectivo de esos datos será lo que normalmente determine el régimen jurídico al que estará sometida una parte con arreglo a la ley aplicable. Los sujetos de los datos que hayan sufrido pérdidas como consecuencia del procesamiento ilegal de datos personales o de cualquier acto incompatible con las normas nacionales de protección de datos pueden tener derecho a reclamar una indemnización directamente al responsable de los datos.

Además, en muchas jurisdicciones la exención total de la responsabilidad personal derivada de la propia culpa no es admisible o bien está sujeta a ciertos límites. Tal vez no sea posible excluir íntegramente la responsabilidad por lesiones personales (incluidas la enfermedad y la muerte) y por negligencia grave, dolo, vicios, incumplimiento de las obligaciones básicas y esenciales para la ejecución del contrato o incumplimiento de los requisitos reglamentarios aplicables. Algunos tipos de cláusulas de limitación de la responsabilidad, como las que eximen de responsabilidad al proveedor por incidentes de seguridad en los casos en que el cliente no tiene el control de las medidas de seguridad ni la capacidad de adoptarlas, pueden considerarse “abusivas” y, por ende, nulas. Las condiciones de los contratos de adhesión, que normalmente no se negocian sino que vienen preestablecidas por una de las partes, pueden tener que someterse a un examen particularmente minucioso. Además, la ley puede prever la responsabilidad ilimitada por determinados tipos de vicios (por ejemplo, defectos en los equipos físicos o los programas informáticos).

Las instituciones públicas pueden tener limitaciones legales para asumir determinadas responsabilidades, o la obligación de obtener la autorización previa de un órgano estatal competente para hacerlo. También les puede estar prohibido aceptar que se excluya o limite la responsabilidad de un proveedor con carácter general o por las acciones u omisiones definidas en la ley.

Por otra parte, la ley aplicable puede permitir que se exima de responsabilidad a una de las partes si esta cumple determinados requisitos que, de no satisfacerse, la expondrían al riesgo de incurrir en responsabilidad. Por ejemplo, según el procedimiento de “notificación y retirada” (véase el párr. 82 supra) vigente en algunas jurisdicciones, el proveedor queda liberado de responsabilidad por alojar contenido ilícito en su infraestructura de nube si lo retira en cuanto se entere de su existencia.

En algunas jurisdicciones es necesario incluir en el contrato las cláusulas de descargo y limitación de la responsabilidad acordadas por las partes para que sean exigibles. La ley aplicable podría supeditar la validez y eficacia de esas cláusulas al cumplimiento de determinados requisitos de forma o de otra índole.

Otras cuestiones que deben tenerse en cuenta al redactar cláusulas de responsabilidad

Al negociar la distribución de los riesgos y la responsabilidad, normalmente se tendrán en cuenta el importe cobrado, en su caso, por los servicios de computación en la nube, así como los riesgos inherentes a la prestación de esos servicios. Aunque las partes tienden por lo general a excluir o limitar la responsabilidad derivada de factores ajenos a su voluntad o que solo pueden controlar hasta cierto punto (como el comportamiento de los usuarios finales o las acciones u omisiones de los subcontratistas), el grado de control no siempre será un factor decisivo. Una parte puede estar dispuesta a asumir riesgos y responsabilidad por elementos ajenos a su voluntad con el fin de distinguirse en el mercado. No obstante, es más probable que los riesgos y la responsabilidad de esa parte aumenten progresivamente de forma proporcional a los elementos que estén bajo su control.

Por ejemplo, en los servicios de tipo SaaS en que se utilizan programas informáticos de oficina de carácter estándar, es probable que el proveedor sea responsable de prácticamente todos los recursos proporcionados al cliente, por lo que podría incurrir en responsabilidad en todos los casos en que esos recursos no estuviesen disponibles o no funcionaran correctamente. No obstante, incluso en esos casos, el cliente podría tener que responder de todos modos de algunos componentes de los servicios, como el cifrado o las copias de seguridad de los datos bajo su control. El hecho de no realizar las copias de seguridad necesarias podría acarrear la pérdida del derecho a reclamar contra el proveedor en caso de pérdida de los datos. En cambio, en el caso de los servicios de tipo IaaS y PaaS, el proveedor podría tener que responder únicamente de la infraestructura o las plataformas proporcionadas (como los equipos físicos, el sistema operativo o los programas intermedios), mientras que el cliente asumiría responsabilidad respecto de todos los componentes que le pertenecieran, como las aplicaciones que se ejecutaran utilizando esas infraestructuras o plataformas y los datos alojados en ellas.

Condiciones estándar del proveedor

En sus condiciones estándar, los proveedores pueden eximirse de toda responsabilidad contractual y adoptar la postura de que las cláusulas de responsabilidad son innegociables. Otra posibilidad es que el proveedor esté dispuesto a asumir responsabilidad, incluso ilimitada, por los incumplimientos que dependen de su voluntad (por ejemplo, una violación de las licencias de PI concedidas por el cliente al proveedor), pero no por los incumplimientos que puedan ocurrir por causas ajenas a su voluntad (por ejemplo, debido a hechos imprevisibles o a la filtración de información confidencial).

Por lo general, en las condiciones estándar de los proveedores, estos se eximen de responsabilidad por daños indirectos o emergentes (por ejemplo, la pérdida de oportunidades comerciales a raíz de la falta de disponibilidad de los servicios de computación en la nube). Cuando los proveedores asumen responsabilidad con carácter general o en determinados casos establecidos expresamente, en sus condiciones estándar se suele limitar la cuantía de los daños por los que se responderá (por cada siniestro, serie de siniestros relacionados entre sí o período de tiempo). Además, los proveedores suelen fijar un límite máximo general a su responsabilidad contractual, que puede establecerse en función de los ingresos que esperan obtener de conformidad con el contrato, de su volumen de facturación o de la cobertura prevista en sus pólizas de seguro.

Normalmente, en las condiciones estándar de los proveedores se hace responsable al cliente del incumplimiento de la PUA.

Posibles variaciones de las condiciones estándar

Algunos hechos (por ejemplo, el quebrantamiento de las normas de protección de los datos personales y la vulneración de derechos de PI) podrían dar lugar a que cualquiera de las partes incurriera en un grado posiblemente alto de responsabilidad frente a terceros o a que se impusieran multas reglamentarias. Es habitual que se pacte un régimen de responsabilidad más severo (responsabilidad ilimitada o indemnizaciones más elevadas) para los casos en que el hecho sea imputable a la culpa o negligencia de la otra parte.

Tanto la ley como el contrato pueden limitar o excluir la responsabilidad de las partes por los actos de terceros que escapen a su control (por ejemplo, la responsabilidad del cliente por los actos de sus usuarios finales o la responsabilidad del proveedor por los actos del cliente o los usuarios finales de este).

Seguro de responsabilidad civil

En el contrato pueden preverse determinadas obligaciones en materia de seguros para una o ambas partes, especialmente en lo que respecta a los requisitos de calidad que deberá reunir la compañía de seguros elegida y la cuantía mínima de la cobertura que deberá obtenerse. También se puede establecer la obligación de cada parte de notificar a la otra los cambios que se realicen en la cobertura de su seguro o de proporcionar a la otra una copia de las pólizas de seguros que tenga en vigor.

Los términos pertinentes del glosario

Datos personales: datos confidenciales y no confidenciales que pueden utilizarse para identificar a la persona física a la que se refieren esos datos. La definición de datos personales en algunas jurisdicciones puede abarcar cualquier dato o información directa o indirectamente vinculada o relacionada con una persona que haya sido o pueda ser identificada (véase la definición de sujeto de los datos).

Procesamiento de datos personales: la recopilación, el registro, la organización, el almacenamiento, la adaptación o la alteración, la recuperación, la consulta, la utilización, la revelación por transmisión, la difusión o cualquier otra forma de puesta a disposición, alineación o combinación, bloqueo, eliminación o destrucción de datos personales.

Responsable de los datos: persona que determina los objetivos y medios que han de emplearse para procesar datos personales.

Procesador de los datos: persona que procesa los datos en nombre del responsable de los datos.

Sujeto de los datos: persona física cuya identidad puede determinarse, directa o indirectamente, a través de los datos, por ejemplo, por referencia a datos identificadores como el nombre, un número de identificación, la ubicación y otros factores relacionados con la identidad física, genética, mental, económica, cultural o social de la persona. En varias jurisdicciones, las normas sobre protección o privacidad de los datos confieren a los sujetos de los datos determinados derechos sobre los datos que permiten identificarlos. Esas normas pueden dar lugar a que se incluyan parámetros cuantitativos y cualitativos específicos sobre la protección de datos en el acuerdo de prestación de servicios (SLA), por ejemplo, que un auditor independiente certifique, al menos una vez al año, que los servicios prestados en virtud del contrato cumplen la norma sobre protección o privacidad de los datos indicada en el propio contrato. (Véanse también las definiciones de derechos de los sujetos de los datos y datos personales).

Incidente de seguridad: hecho que indica que se ha quebrantado la seguridad del sistema o de los datos o que han fallado las medidas adoptadas para protegerlos. Un incidente de seguridad altera el funcionamiento normal del sistema. Son ejemplos de incidentes de seguridad los intentos de acceso no autorizados al sistema o a los datos, la interrupción imprevista de un servicio o la denegación de un servicio, el procesamiento o el almacenamiento no autorizados de datos y los cambios no autorizados en la infraestructura del sistema.

Infraestructura como servicio (IaaS): tipos de servicios de computación en la nube que permiten al cliente obtener y utilizar recursos de procesamiento, de almacenamiento o de redes. El cliente no administra ni controla los recursos virtuales ni los recursos físicos subyacentes, pero tiene el control de los sistemas operativos, el almacenamiento y las aplicaciones instaladas que utilizan esos recursos. Además, la capacidad del cliente de controlar determinados componentes de la red (por ejemplo, los cortafuegos locales) puede estar limitada.

Plataforma como servicio (PaaS): tipos de servicios de computación en la nube que permiten al cliente desplegar, administrar y ejecutar en la nube aplicaciones creadas o adquiridas por él utilizando al menos uno de los lenguajes de programación y entornos de ejecución ofrecidos por el proveedor.

Programas informáticos como servicio (SaaS): tipos de servicios de computación en la nube que permiten al cliente utilizar las aplicaciones del proveedor en la nube.

Política de uso aceptable (PUA): parte del contrato de computación en la nube celebrado entre el proveedor y el cliente en la que se definen los límites del uso que podrán hacer el cliente y sus usuarios finales de los servicios de computación en la nube previstos en el contrato.