Bienvenidos a las Naciones Unidas
Idioma:
  1. Portada
  2. Notas sobre las principales cuestiones relacionadas con los contratos de computación en la nube (preparada por la secretaría de la CNUDMI, 2019)

Notas sobre las principales cuestiones relacionadas con los contratos de computación en la nube (preparada por la secretaría de la CNUDMI, 2019)

Segunda parte. La redacción del contrato

I. Subcontratistas, proveedores del proveedor y externalización

Identificación de los participantes en la cadena de subcontratación

La subcontratación, los servicios estratificados de computación en la nube y la externalización son prácticas habituales en el entorno de la computación en la nube. En las condiciones estándar de los proveedores, estos pueden reservarse expresamente el derecho a prestar los servicios de computación en la nube al cliente por conducto de terceros, o ese derecho puede estar implícito debido a la propia naturaleza de los servicios que han de prestarse. Al proveedor quizás le interese conservar la mayor flexibilidad posible en ese sentido.

Las partes pueden estar obligadas por ley a especificar en el contrato los terceros que participarán en la prestación de los servicios de computación en la nube. La identificación de esos terceros también puede ser útil para el cliente a los efectos de verificar cierta información, especialmente porque le permite determinar si esos terceros cumplen los requisitos de seguridad, confidencialidad, protección de datos y otros requisitos establecidos en el contrato o en la ley, y comprobar la inexistencia de conflictos de intereses respecto de esos terceros.

Esa información puede utilizarse también para mitigar el riesgo de incumplimiento del contrato por el proveedor debido al incumplimiento de terceros. Por ejemplo, el cliente puede optar por contratar directamente con los terceros que resultan imprescindibles para la ejecución del contrato de computación en la nube, sobre todo en lo relativo a cuestiones tan delicadas como la confidencialidad y el procesamiento de datos personales. El cliente también puede tratar de negociar con los terceros más importantes para que estos asuman la obligación de intervenir si el proveedor no cumple lo establecido en el contrato, en particular si incurre en insolvencia.

Es posible que el proveedor no esté en condiciones de identificar a todos los terceros involucrados, aunque quizás sí a los que desempeñan funciones de importancia clave. La composición del conjunto de terceros que intervienen en la prestación de los servicios de computación en la nube puede variar durante el período de vigencia del contrato (véanse los párrs. 120 y 121 infra).

Cambios en la cadena de subcontratación

Es habitual que se produzcan cambios unilaterales en la cadena de subcontratación. En el contrato puede especificarse si se permite hacer cambios en la cadena de subcontratación y, de ser así, en qué condiciones pueden realizarse esos cambios (por ejemplo, el cliente puede reservarse el derecho a investigar los antecedentes de cualquier tercero que se prevea incorporar a la prestación de los servicios de computación en la nube y vetarlo antes de que se realice el cambio). Como alternativa a lo anterior, se podría incluir en el contrato una lista de terceros aprobados previamente por el cliente, entre los que el proveedor podrá elegir cuando sea necesario. Otra posibilidad sería que el cambio quedara supeditado a la posterior aprobación del cliente y que, si este no aceptase el cambio, los servicios siguieran prestándose con la participación del tercero anterior o con otro tercero aprobado previamente o que las partes designaran de común acuerdo. De lo contrario, se podría poner fin al contrato. 

Las disposiciones imperativas de la ley aplicable pueden establecer las circunstancias en que los cambios introducidos en la cadena de subcontratación del proveedor podrían hacer necesario resolver el contrato.

Armonización de las condiciones del contrato con las de otros contratos vinculados

Las partes pueden tener la obligación legal o contractual de ajustar las condiciones del contrato a las de otros contratos vigentes o futuros vinculados al primero, a fin de asegurar la confidencialidad y el cumplimiento de los requisitos en materia de protección y ubicación de los datos. En el contrato puede establecerse la obligación de cada parte de proporcionar a la otra, con fines de verificación, copias de los contratos vinculados.

Responsabilidad de los subcontratistas, los proveedores del proveedor y otros terceros

Si bien en el contrato de computación en la nube se puede incluir una lista de los terceros que sean imprescindibles para su ejecución, esos terceros no serán partes en el contrato celebrado entre el cliente y el proveedor y solo responderán de las obligaciones que hayan contraído en virtud de sus contratos con el proveedor. La constitución, en beneficio del cliente, de derechos de terceros beneficiarios en los contratos vinculados, o la incorporación del cliente como parte en dichos contratos vinculados, permitiría al cliente recurrir directamente contra el tercero en caso de que este incurriera en incumplimiento del contrato vinculado.

Con arreglo a lo dispuesto en la ley aplicable o en el contrato, el proveedor puede tener que responder frente al cliente de cualquier cuestión encomendada a un tercero a quien el proveedor haya hecho participar en la ejecución del contrato. La ley puede establecer, en particular, la responsabilidad solidaria del proveedor y sus subcontratistas respecto de las cuestiones que se planteen en relación con el procesamiento de datos personales, según el grado de participación que hayan tenido los subcontratistas en el procesamiento de esos datos.

Los términos pertinentes del glosario

Requisitos de ubicación de los datos: requisitos relativos a la ubicación de los datos y otros contenidos, de los centros de datos, o del proveedor. Pueden entrañar la prohibición de alojar o trasladar determinados datos (como los metadatos y las copias de seguridad) dentro o fuera de una zona o jurisdicción determinada, o la obligación de obtener previamente la autorización de un órgano estatal competente para poder hacerlo. Suelen estar previstos en las leyes y reglamentos sobre protección de datos, que pueden establecer en particular la prohibición de alojar datos personales en jurisdicciones que no respeten determinadas normas de protección de datos personales, o de trasladar datos personales a esas jurisdicciones.

Servicios estratificados de computación en la nube: servicios en que el proveedor no es propietario de la totalidad o algunos de los recursos de computación que utiliza para prestar los servicios de computación en la nube a sus clientes, sino que él es, a su vez, cliente de la totalidad o algunos de los servicios de computación en la nube. Por ejemplo, el proveedor de servicios de tipo PaaS o SaaS puede utilizar infraestructura de almacenamiento y servidores (centros de datos, servidores de datos) de propiedad de otra entidad o suministrados por otra entidad. Como resultado de ello, en la prestación de los servicios de computación en la nube al cliente podrían participar uno o más subproveedores. Es posible que el cliente no sepa qué proveedores o subproveedores participan en la prestación de los servicios en un momento dado, lo que hace difícil determinar y gestionar los riesgos. Los servicios estratificados de computación en la nube son comunes, especialmente en la modalidad SaaS.

Procesamiento de datos personales: la recopilación, el registro, la organización, el almacenamiento, la adaptación o la alteración, la recuperación, la consulta, la utilización, la revelación por transmisión, la difusión o cualquier otra forma de puesta a disposición, alineación o combinación, bloqueo, eliminación o destrucción de datos personales.