Notas sobre las principales cuestiones relacionadas con los contratos de computación en la nube (preparada por la secretaría de la CNUDMI, 2019)
Segunda parte. La redacción del contrato
D. Derechos en relación con los datos y otros contenidos del cliente
Derechos del proveedor en relación con los datos del cliente a efectos de la prestación de los servicios
Los proveedores suelen reservarse el derecho de acceder a los datos del cliente siempre y cuando “necesiten conocerlos”. Normalmente, esto permite que los empleados del proveedor, los subcontratistas y otros terceros (por ejemplo, los auditores) tengan acceso a los datos del cliente cuando sea necesario para prestar los servicios de computación en la nube (con fines de mantenimiento, apoyo y seguridad, entre otros) y supervisar el cumplimiento de lo establecido en la PUA, las licencias de PI, el SLA y otros documentos contractuales. Las partes pueden pactar en qué casos se permitirá el acceso del proveedor a los datos del cliente y qué medidas se adoptarán para garantizar la confidencialidad y la integridad de dichos datos.
Puede considerarse que, cuando el cliente solicita al proveedor un determinado servicio o funcionalidad, concede implícitamente a este último ciertos derechos para acceder a sus datos, sin los cuales el proveedor no podría prestar tales servicios. Por ejemplo, si el proveedor está obligado a realizar periódicamente copias de seguridad de los datos del cliente, deberá tener derecho a hacer copias de los datos para poder llevar a cabo esa tarea. Del mismo modo, si los subcontratistas han de manipular los datos del cliente, el proveedor debe tener la posibilidad de transferírselos.
En el contrato puede indicarse expresamente cuáles son los derechos relacionados con los datos que el cliente otorga al proveedor y que son necesarios para el cumplimiento del contrato; si el proveedor está autorizado a ceder esos derechos a terceros (por ejemplo, a sus subcontratistas) y, si lo estuviera, en qué medida puede hacerlo; y a qué espacio geográfico y de tiempo se circunscriben los derechos concedidos expresa o implícitamente. Las limitaciones geográficas pueden ser especialmente importantes cuando la ley prohíbe que los datos salgan de un determinado país o región (leer más). En los contratos suele indicarse si el cliente tiene la facultad de revocar los derechos otorgados expresa o implícitamente y, si así fuera, en qué condiciones puede hacerlo. Dado que la capacidad de prestar los servicios con el nivel de calidad exigido puede depender de los derechos que otorgue el cliente, la revocación de algunos de ellos podría tener como consecuencia directa la modificación o resolución del contrato.
Utilización por el proveedor de los datos del cliente con otros fines
En la mayoría de las jurisdicciones no se concede automáticamente al proveedor el derecho a utilizar los datos del cliente para sus propios fines. El proveedor puede solicitar permiso para utilizar los datos del cliente con fines distintos de los relacionados con la prestación de los servicios de computación en la nube previstos en el contrato (por ejemplo, con fines publicitarios o para generar estadísticas, elaborar informes analíticos o de predicciones, participar en otras prácticas de extracción de datos, etc.). En ese contexto, cabría plantearse las preguntas siguientes, entre otras: a) qué información se recopilará sobre el cliente y sus usuarios finales y por qué motivos, y con qué fines la recopilará y utilizará el proveedor; b) si esa información se va a comunicar a otras organizaciones, empresas o particulares y, de ser así, por qué razón se comunicará y si ello se hará con el consentimiento del cliente o sin él; y c) de qué manera se va a garantizar el cumplimiento de las políticas de confidencialidad y seguridad si el proveedor transmite esa información con terceros. Cuando el uso que hace el proveedor de los datos del cliente afecta a datos personales, lo más probable es que las partes evalúen cuidadosamente sus respectivas obligaciones de cumplir lo dispuesto en las leyes aplicables en materia de protección de datos.
En los contratos en que se otorga al proveedor el derecho a utilizar los datos del cliente para sus propios fines, es posible que también se enumeren los motivos por los que se permitirá dicho uso, se establezca la obligación de anonimizar los datos del cliente y ocultar su identidad a fin de garantizar el cumplimiento de la normativa aplicable en materia de protección de datos y otras normas, y se impongan límites a la reproducción del contenido y a su comunicación al público. Es una práctica común permitir que el proveedor utilice los datos del cliente para sus propios fines durante el plazo de vigencia del contrato o tras su extinción, pero solo en forma de datos abiertos anonimizados o como información agregada que no revele la identidad del cliente.
Utilización por el proveedor del nombre, el logotipo y la marca del cliente
En las condiciones estándar de los proveedores es posible que se conceda a estos el derecho a utilizar en su propia publicidad los nombres, logotipos y marcas del cliente. Las partes pueden convenir en suprimir o modificar esas disposiciones, por ejemplo, limitando el uso que se puede hacer del nombre del cliente y exigiendo que se obtenga la autorización previa de este para poder utilizar su nombre, logotipo y marca.
Medidas adoptadas por el proveedor con respecto a los datos del cliente en cumplimiento de una orden del Estado o de la normativa vigente
En sus condiciones estándar, el proveedor puede reservarse la facultad discrecional de revelar los datos del cliente o dar acceso a dichos datos a organismos públicos (incluyendo, por ejemplo, una mención como la siguiente: “cuando hacerlo sea en el interés superior del proveedor”). En las condiciones estándar del proveedor también se suele otorgar a este el derecho a retirar o bloquear los datos del cliente inmediatamente después de que tome conocimiento o se entere de la existencia de contenido ilícito en dichos datos, o cuando tenga que hacer respetar el derecho al olvido de los sujetos de los datos, a fin de no incurrir en responsabilidad legal (con arreglo al procedimiento de “notificación y retirada” (véase el párr. 128 infra)). Las partes pueden convenir en restringir los casos en que el proveedor podrá actuar de ese modo, por ejemplo, cuando un tribunal u otro órgano del Estado le ordene facilitar el acceso a los datos, suprimirlos o modificarlos.
Las partes pueden acordar, como mínimo, que se notifiquen sin demora al cliente las órdenes del Estado o las propias decisiones del proveedor con respecto a los datos del cliente, y que se incluya en la notificación una descripción de los datos de que se trate, a menos que dicha notificación sea contraria a la ley. Cuando no sea posible realizar la notificación ni dar intervención al cliente por adelantado, se puede establecer en el contrato la obligación de que el proveedor notifique esa misma información al cliente inmediatamente después. Las partes también pueden convenir en incluir cláusulas que obliguen a llevar un registro de todas las órdenes, solicitudes y demás actividades relacionadas con los datos del cliente, y a conceder a este último acceso a ese registro.
Derechos en relación con los datos obtenidos de los servicios de nube
Las partes pueden estipular los derechos que tendrá el cliente en relación con los datos obtenidos de los servicios de nube y la forma en que podrán ejercerse esos derechos durante el período de vigencia de la relación contractual y tras la extinción del contrato.
Cláusula de protección de los derechos de PI
Algunos tipos de contratos de computación en la nube pueden dar origen a objetos de derechos de PI, ya sea como resultado de la acción conjunta del proveedor y el cliente (por ejemplo, mejoras en los servicios derivadas de sugerencias del cliente) o solo del cliente (nuevas aplicaciones, programas informáticos y otras obras originales). En el contrato puede incluirse una cláusula expresa sobre PI que determine a cuál de las partes en el contrato pertenecen los derechos de PI sobre diversos objetos desplegados o desarrollados en la nube, y cómo pueden las partes ejercer esos derechos. Cuando no exista la posibilidad de negociar este aspecto, el cliente tal vez desee revisar las cláusulas de PI a fin de determinar si el proveedor le ofrece garantías suficientes y pone a su disposición los mecanismos necesarios para proteger y ejercer sus derechos de PI y evitar los riesgos de dependencia (leer más).
Interoperabilidad y portabilidad
Es posible que no exista ninguna obligación legal de garantizar la interoperabilidad y la portabilidad. La carga de crear procedimientos compatibles de exportación de datos puede recaer íntegramente sobre el cliente a menos que en el contrato se prevea otra cosa, por ejemplo, que se asuman obligaciones con respecto a la interoperabilidad y la portabilidad y que se preste asistencia para exportar los datos en el momento en que se extinga el contrato (véase el párr. 161 infra). En el contrato se puede exigir que, para la exportación de datos y otros contenidos, se utilicen formatos interoperables o estandarizados que sean comunes y ampliamente utilizados, o permitir que se elija entre los formatos de exportación disponibles. También pueden incluirse en el contrato cláusulas que regulen los derechos relativos a los productos y aplicaciones o programas informáticos de propiedad conjunta, sin los cuales podría resultar imposible utilizar los datos y demás contenidos en otro sistema (véase el párr. 85 supra).
Recuperación de datos con una finalidad jurídica
Es posible que los clientes necesiten buscar y encontrar datos alojados en la nube en su forma original para cumplir determinadas obligaciones legales (por ejemplo, en el marco de una investigación), y que los registros electrónicos tengan que ajustarse a las normas de auditoría y los requisitos exigidos en materia de prueba. Algunos proveedores quizás estén en condiciones de prestar asistencia a los clientes para recuperar los datos en el formato exigido por la ley. En el contrato puede establecerse la forma y las condiciones en que se prestará dicha asistencia.
Eliminación de datos
La eliminación de datos es una cuestión que puede plantearse durante todo el período de vigencia del contrato, aunque muy especialmente en el momento de su extinción (véase el párr. 162 infra). Por ejemplo, es posible que determinados datos deban eliminarse siguiendo el plan de conservación del cliente. Puede ser necesario destruir datos de carácter delicado en un momento determinado de su ciclo de vida (por ejemplo, mediante la destrucción de los discos duros al finalizar la vida útil del equipo en que se almacenaron dichos datos). También puede ser necesario eliminar datos a solicitud de un organismo encargado de hacer cumplir la ley o cuando se confirme que se han vulnerado derechos de PI (véase el párr. 82 supra).
Es posible que en las condiciones estándar del proveedor se establezca únicamente que los datos del cliente se eliminarán cada cierto tiempo. Las partes pueden convenir en que los datos, sus copias de seguridad y los metadatos se eliminen de manera inmediata, eficaz, irrevocable y permanente, de conformidad con el calendario de conservación y eliminación de datos u otras autorizaciones o solicitudes que el cliente comunique al proveedor. En el contrato se puede establecer el plazo y otras condiciones relativas a la eliminación de datos, como la obligación de confirmar la eliminación una vez realizada y facilitar el acceso a los registros de auditoría de las actividades de eliminación de datos.
También es posible que, en función de la naturaleza y el grado de confidencialidad de los datos, se convenga en aplicar determinadas normas o técnicas de eliminación. Quizás se exija al proveedor que elimine los datos almacenados en distintos lugares y soportes, entre ellos los sistemas de los subcontratistas y otros terceros, y que la eliminación se haga en diverso grado, desde una supresión de los datos que asegure su confidencialidad, hasta su completa eliminación o la destrucción del equipo físico en que están almacenados. Los procedimientos de eliminación que conllevan la destrucción del equipo en lugar de su redistribución son más seguros, pero pueden resultar más costosos y no siempre es posible llevarlos a cabo (por ejemplo, cuando existen datos de otras personas almacenados en el mismo equipo físico). Estos aspectos pueden dar lugar a que se pacte en el contrato la obligación de utilizar una infraestructura aislada para almacenar los datos especialmente delicados del cliente.