Notas sobre las principales cuestiones relacionadas con los contratos de computación en la nube (preparada por la secretaría de la CNUDMI, 2019)

Primera parte. Principales aspectos
precontractuales

B. EVALUACIÓN PRECONTRACTUAL DE LOS RIESGOS

Las normas imperativas de la ley aplicable pueden exigir que se realice una evaluación de los riesgos como condición para celebrar un contrato de computación en la nube. Aun cuando la ley no imponga ese requisito, las partes pueden decidir llevar a cabo una evaluación de los riesgos que quizás les permita encontrar estrategias para mitigarlos, entre ellas la negociación de determinadas cláusulas contractuales.

No todos los riesgos derivados de los contratos de computación en la nube están relacionados específicamente con la nube. Respecto de algunos de ellos (por ejemplo, los riesgos derivados de las interrupciones de la conexión a Internet) habrá que tomar medidas fuera del marco de un contrato de computación en la nube, y no todos los riesgos podrán mitigarse a un costo aceptable (por ejemplo, el riesgo de deterioro de la reputación). Además, la evaluación de los riesgos no es por lo general una medida que se adopte una sola vez antes de celebrar un contrato. Es posible que los riesgos se evalúen continuamente durante el período de vigencia del contrato y que, a raíz de esas evaluaciones, sea necesario modificar el contrato o ponerle fin.

Verificación de la información sobre determinados servicios de computación en la nube y una determinada parte contratante

La siguiente información puede resultar de interés para las partes cuando consideren la posibilidad de utilizar un determinado servicio de computación en la nube en particular y elegir a una parte contratante:

(a)   las licencias de PI necesarias para utilizar un determinado servicio de computación en la nube;

(b)      las políticas de privacidad, confidencialidad y seguridad existentes, en especial en lo que respecta a la prevención del acceso, la utilización, la alteración o la destrucción no autorizados de los datos durante su procesamiento, tránsito o transmisión mediante el uso de infraestructura de computación en la nube;

(c)      las medidas destinadas a garantizar el acceso continuado a los metadatos, registros de auditoría y otros registros que muestren las medidas de seguridad adoptadas;

(d)      la existencia de un plan de recuperación en casos de desastre y obligaciones de notificación en caso de violación de la seguridad o mal funcionamiento del sistema;

(e)      las políticas aplicables a la prestación de asistencia en los procesos de migración a la nube y finalización del servicio, así como en materia de interoperabilidad y portabilidad;

(f)       los métodos actuales de investigación de antecedentes y capacitación de los empleados, subcontratistas y otros terceros que participen en la prestación de los servicios de computación en la nube;

(g)      las estadísticas relativas a los incidentes de seguridad y la información cuantitativa y cualitativa sobre los servicios prestados en anteriores procedimientos de recuperación en casos de desastre;

(h)      la certificación otorgada por un tercero independiente que acredite el cumplimiento de las normas técnicas;

(i)       la información sobre la periodicidad y el alcance de la auditoría realizada por un órgano independiente;

(j)      la viabilidad financiera;

(k)     las pólizas de seguro;

(l)       los posibles conflictos de intereses;

(m)     el alcance de la subcontratación y de los servicios estratificados de computación en la nube;

(n)      el grado de aislamiento de los datos y otros contenidos en la infraestructura de computación en la nube; y

(o)      las funciones que cada parte espera que asuma la otra y la responsabilidad compartida por las partes con respecto a las medidas de seguridad.

Riesgo de que se vulneren derechos de PI

Puede existir el riesgo de que se vulneren derechos de PI en los casos en que, por ejemplo, el proveedor no sea el propietario de los recursos que suministra a sus clientes ni quien los ha desarrollado, sino que los utilice en virtud de un acuerdo de licencia de PI celebrado con un tercero. También puede surgir dicho riesgo cuando, para llevar a efecto lo estipulado en el contrato, se exige al cliente que otorgue al proveedor una licencia de uso del contenido que el cliente desea almacenar en la nube. En algunas jurisdicciones, el almacenamiento de contenido en la nube, incluso con el fin de hacer copias de seguridad, puede considerarse una reproducción y requerir la autorización previa del titular de los derechos de PI.

Convendrá a los intereses de ambas partes asegurarse, antes de firmar el contrato, de que el uso de los servicios de computación en la nube no constituirá una violación de derechos de PI ni una causal de revocación de las licencias concedidas a cualquiera de las partes. El costo de incurrir en una violación de derechos de PI puede ser muy elevado. Es posible que sea necesario pactar el derecho a conceder sublicencias, o celebrar directamente con el correspondiente tercero licenciante un contrato de licencia por el que se otorgue el derecho a gestionar las licencias. Para utilizar programas informáticos de código abierto u otros contenidos tal vez haya que obtener previamente el consentimiento de terceros y revelar el código fuente con las modificaciones introducidas en esos programas y otros contenidos.

Riesgos para la seguridad, la integridad, la confidencialidad y la privacidad de los datos

Cuando se realiza la migración total o parcial de los datos a la nube, el cliente pierde tanto el control exclusivo de los datos como la capacidad de aplicar las medidas necesarias para garantizar la integridad y la confidencialidad de los datos o verificar si estos se están procesando y conservando correctamente. El grado de pérdida de control dependerá del tipo de servicios de computación en la nube.

Debido a las características inherentes a los servicios de computación en la nube, como el acceso amplio a la red, el arrendamiento múltiple y la combinación de recursos, es posible que las partes tengan que adoptar más precauciones para evitar la interceptación de las comunicaciones y otras formas de ciberataque que puedan dar lugar a la pérdida o alteración de las credenciales de acceso a los servicios de computación en la nube, la pérdida de datos y otras violaciones de la seguridad. El aislamiento adecuado de los recursos, la segregación de los datos y la adopción de procedimientos de seguridad rigurosos son especialmente importantes en entornos compartidos como el de la computación en la nube.

La adopción de medidas de seguridad será una responsabilidad compartida por las partes en el entorno de la computación en la nube, independientemente del tipo de servicios de computación en la nube que se utilicen. La  evaluación de los riesgos en la etapa precontractual ofrece una buena oportunidad para que las partes eliminen cualquier ambigüedad que pueda existir en la definición de sus funciones y responsabilidades en lo que respecta a la seguridad, la integridad, la confidencialidad y la privacidad de los datos. Las cláusulas del contrato serán importantes para reflejar lo acordado por las partes en cuanto a la distribución de los riesgos y las responsabilidades entre ellas en relación con esos y otros aspectos de la prestación de servicios de computación en la nube. Sin embargo, dichas cláusulas no podrán dejar sin efecto las disposiciones imperativas de la ley (leer mas).

Pruebas de penetración, auditorías e inspecciones in situ

En la etapa precontractual pueden adoptarse medidas para verificar que el aislamiento de los recursos, la segregación de los datos, los procedimientos de identificación y otras medidas de seguridad sean adecuados. Tales medidas deberían estar dirigidas a determinar las posibles precauciones adicionales que las partes quizás deban adoptar para prevenir violaciones de la seguridad de los datos y otros problemas de funcionamiento en la prestación de los servicios de computación en la nube al cliente.

Los centros de datos que se utilizan para prestar servicios de computación en la nube pueden tener que someterse, por disposición legal o reglamentaria, a auditorías, pruebas de penetración e inspecciones físicas, especialmente para verificar que el lugar en que se encuentran se ajusta a los requisitos de ubicación de los datos previstos en la ley (véanse los párrs. 10 y 11 supra). Las partes tendrán que ponerse de acuerdo sobre las condiciones en que se llevarán a cabo esas actividades, en particular el momento en que se realizarán, la forma en que se distribuirán los gastos y la indemnización que deberá pagarse en caso de que se produzcan daños como resultado de esas actividades.

Riesgos de dependencia

Una de las cuestiones más importantes que las partes deberían tener en cuenta es la de evitar o reducir los riesgos de dependencia que suelen derivarse de la falta de interoperabilidad y portabilidad. En los contratos a largo plazo, así como en los contratos a corto y mediano plazo que se renuevan automáticamente, el riesgo de dependencia puede ser mayor.

Los riesgos de dependencia de las aplicaciones y los datos son especialmente elevados en los servicios de tipo Saas y PaaS. Los datos pueden estar en formatos específicos de un sistema de nube que no sean utilizables en otros sistemas. Además, es posible que la aplicación o el sistema utilizados para organizar los datos estén patentados y que, por lo tanto, sea necesario modificar las condiciones de la licencia para permitir el funcionamiento en una red diferente. En los casos en que se hayan elaborado programas a fin de interactuar con las interfaces de programación de aplicaciones (API), puede ser necesario volver a escribir el programa para tener en cuenta la API del nuevo sistema. Esos cambios también pueden entrañar gastos elevados como consecuencia de la necesidad de volver a capacitar a los usuarios finales.

En el caso de los servicios PaaS, también podría existir dependencia de las versiones de ejecución de los programas, ya que esas versiones (es decir, los programas informáticos diseñados para apoyar la ejecución de programas informáticos escritos en un lenguaje de programación específico) suelen estas muy personalizadas (por ejemplo, en lo concerniente a aspectos como la asignación o la liberación de memoria, la depuración de errores, etc.). En lo que respecta a los servicios IaaS, la dependencia varía en función de los servicios de infraestructura específicos que se utilicen, aunque, al igual que los servicios PaaS, algunos servicios de infraestructura también pueden dar lugar a una dependencia de las aplicaciones si el servicio depende de determinados aspectos de política (por ejemplo, de los controles de acceso). Algunos servicios de infraestructura también pueden dar lugar a una dependencia de los datos si se traslada a la nube un mayor volumen de datos para su almacenamiento.

En la etapa precontractual podrían realizarse pruebas para verificar si los datos y otros contenidos pueden exportarse a otro sistema y ser utilizables en él. Es posible que sea necesario sincronizar las plataformas internas del cliente con las que están en la nube y reproducir los datos en otro lugar. Una estrategia importante para mitigar los riesgos de dependencia puede ser la de contratar con más de una parte y optar por una combinación de diversos tipos de servicios de computación en la nube y sus modelos de despliegue (por ejemplo, emplear múltiples proveedores), aunque ello podría repercutir en los costos y acarrear otras consecuencias. Algunas cláusulas contractuales también pueden ayudar a mitigar los riesgos de dependencia (leer más).

Riesgos para la continuidad de las operaciones

Los riesgos relacionados con la continuidad de las operaciones pueden preocupar a las partes no solo cuando se acerca la fecha prevista de vencimiento del contrato, sino también cuando existe la posibilidad de que se produzca una suspensión unilateral o una resolución anticipada del contrato, en particular en el caso de que alguna de las partes cese en sus actividades comerciales. Es posible que la ley exija que se adopte de antemano una estrategia adecuada que garantice la continuidad de las operaciones, especialmente para
evitar las consecuencias negativas de la cancelación o la suspensión de los servicios de computación en la nube para los usuarios finales. La inclusión de determinadas cláusulas en el contrato también puede ayudar a mitigar los riesgos para la continuidad de las operaciones (leer más).

Estrategias de salida

Para que las estrategias de salida sean eficaces, las partes quizás tengan que aclarar desde el principio: a) el contenido al que podrá darse salida (por ejemplo, únicamente los datos que el cliente haya subido a la nube o también los datos obtenidos de los servicios de nube); b) las modificaciones que será necesario realizar en las licencias de PI para permitir el uso de ese contenido en otro sistema; c) el control de las claves de descifrado y el acceso a ellas; y d) el tiempo necesario para completar la salida. Las cláusulas contractuales relativas a la finalización del servicio suelen reflejar el acuerdo alcanzado por las partes respecto de esas cuestiones (leer más).

Los términos pertinentes del glosario

Servicios de computación en la nube: servicios en línea con las siguientes características:

a) acceso amplio a la red: significa que es posible acceder a los servicios a través de la red desde cualquier lugar en que la red esté disponible (por ejemplo, a través de Internet), utilizando muy diversos dispositivos, como teléfonos móviles, tabletas y computadoras portátiles;

b) sujetos a medición: significa que se puede llevar un registro de los recursos utilizados y cobrarlos en función de su uso (conforme a un régimen de pago por uso);

c) arrendamiento múltiple: asignación de recursos físicos y virtuales a múltiples usuarios cuyos datos se encuentran aislados, de manera que ninguno de ellos pueda acceder a los datos de los demás;

d) autoservicio a pedido: significa que el cliente utiliza los servicios cuando los necesita, de manera automática o con una interacción mínima con el proveedor;

e) elasticidad y escalabilidad: capacidad de ampliar o reducir rápidamente el consumo de los servicios en función de las necesidades del cliente, teniendo en cuenta las grandes tendencias en la utilización de los recursos (por ejemplo, los efectos estacionales);

f) combinación de recursos: posibilidad de que el proveedor reúna recursos físicos o virtuales para atender a uno o más clientes sin que estos controlen los procesos involucrados o tengan conocimiento de ellos;

g) amplia gama de servicios: abarca desde el suministro y la utilización de la conectividad y los servicios informáticos básicos (como el almacenamiento, el correo electrónico y las aplicaciones de oficina), hasta el suministro y la utilización de la gama completa de la infraestructura física de tecnología de la información (como servidores y centros de datos) y los recursos virtuales necesarios para que el cliente construya sus propias plataformas de tecnología de la información, o despliegue, administre y ejecute las aplicaciones o los programas informáticos creados o adquiridos por él. La infraestructura como servicio (IaaS), la plataforma como servicio (PaaS) o los programas informáticos como servicio (Saas) son tipos de servicios de computación en la nube.

Datos obtenidos de los servicios de nube: datos bajo el control del proveedor que se obtienen como resultado de la utilización por el cliente de los servicios de computación en la nube de ese proveedor. Entre ellos figuran los metadatos y otros registros de datos generados por el proveedor que contienen información sobre quién utilizó los servicios, durante qué períodos y cuáles fueron las funciones y los tipos de datos utilizados. También pueden abarcar la información relativa a los usuarios autorizados, sus datos identificadores y cualquier configuración, personalización o modificación que se haga de esa información.

Interoperabilidad: capacidad de dos o más sistemas o aplicaciones para intercambiar información entre sí y utilizar esa información.

Servicios estratificados de computación en la nube: servicios en que el proveedor no es propietario de la totalidad o algunos de los recursos de computación que utiliza para prestar los servicios de computación en la nube a sus clientes, sino que él es, a su vez, cliente de la totalidad o algunos de los servicios de computación en la nube. Por ejemplo, el proveedor de servicios de tipo PaaS o SaaS puede utilizar infraestructura de almacenamiento y servidores (centros de datos, servidores de datos) de propiedad de otra entidad o suministrados por otra entidad. Como resultado de ello, en la prestación de los servicios de computación en la nube al cliente podrían participar uno o más subproveedores. Es posible que el cliente no sepa qué proveedores o subproveedores participan en la prestación de los servicios en un momento dado, lo que hace difícil determinar y gestionar los riesgos. Los servicios estratificados de computación en la nube son comunes, especialmente en la modalidad SaaS.

Dependencia (“lock-in”): situación en que el cliente depende de un único proveedor porque el costo de cambiar a otro sería demasiado alto. En este contexto, el costo debe entenderse en el sentido más amplio posible, de modo que abarque no solo el costo económico, sino también el costo en términos de esfuerzo, tiempo y relaciones.

Portabilidad: capacidad de transferir datos, aplicaciones y otros contenidos de un sistema a otro fácilmente (es decir, a bajo costo, con el menor trastorno posible y sin necesidad de volver a introducir datos, reorganizar procesos o reprogramar aplicaciones). Esto podría lograrse si fuera posible recuperar los datos en un formato que fuese aceptado por otro sistema o mediante una transformación sencilla y directa utilizando herramientas que estén disponibles normalmente. En el acuerdo de prestación de servicios (SLA) pueden establecerse parámetros cuantitativos y cualitativos específicos relacionados con la portabilidad, por ejemplo, que el cliente pueda recuperar sus datos mediante un único enlace de descarga o interfaces de programación de aplicaciones (API) documentadas; o que el formato de los datos esté suficientemente estructurado y documentado para permitir que el cliente los vuelva a utilizar o los reestructure en un formato diferente, si así lo desea.