Bienvenidos a las Naciones Unidas
Idioma:
  1. Portada
  2. Notas sobre las principales cuestiones relacionadas con los contratos de computación en la nube (preparada por la secretaría de la CNUDMI, 2019)

Notas sobre las principales cuestiones relacionadas con los contratos de computación en la nube (preparada por la secretaría de la CNUDMI, 2019)

Segunda parte. La redacción del contrato

B. Identificación de las partes contratantes

La correcta identificación de las partes contratantes puede incidir directamente en la formación y la exigibilidad del contrato. La ley aplicable suele especificar la información necesaria para determinar si una entidad mercantil tiene personalidad jurídica y capacidad para contratar. También puede exigir que se incluya información adicional para determinados fines, por ejemplo, un número de identificación fiscal o un poder de representación que permita determinar si una persona física tiene facultades para firmar y contraer obligaciones en nombre de una persona jurídica.

C. Definición del objeto y ámbito de aplicación del contrato

Habida cuenta de la diversidad de servicios de computación en la nube que existe, el objeto de los contratos de computación en la nube varía sustancialmente en lo que se refiere a su tipología y complejidad. El objeto de un contrato puede variar a lo largo de su período de vigencia, ya que es posible que se cancelen algunos servicios de computación en la nube y que se añadan otros. Asimismo, el objeto de estos contratos puede abarcar la prestación de servicios esenciales, auxiliares y opcionales.

En la descripción del objeto del contrato se suele describir el tipo de servicios de computación en la nube que se prestarán (SaaS, PaaS, IaaS o una combinación de ellos), su modelo de despliegue (público, compartido, privado o híbrido), sus características técnicas, de calidad y de funcionamiento, y las normas técnicas que pudieran ser aplicables. Algunos de los documentos que conforman el contrato pueden resultar pertinentes para determinar su objeto (leer más).

Acuerdo de prestación de servicios

En el acuerdo de prestación de servicios (SLA) se establecen los parámetros cuantitativos y cualitativos que se utilizarán para evaluar la prestación de los servicios de computación en la nube, el alcance de las obligaciones contractuales y los posibles incumplimientos del proveedor. En la formulación de los parámetros cuantitativos y cualitativos suelen participar especialistas en tecnología de la información.

Por lo general, los parámetros cuantitativos se refieren a la capacidad (una determinada capacidad de almacenamiento de datos o una determinada cantidad de memoria disponible para el programa en ejecución), el período de interrupción o los cortes del servicio, la latencia, la permanencia del almacenamiento de los datos, el período de disponibilidad del servicio, los servicios de apoyo (por ejemplo, durante el horario de actividad del cliente o 24/7) y los planes de gestión y recuperación en casos de desastres e incidentes. En esos planes pueden establecerse parámetros como el tiempo máximo establecido para que se resuelvan los incidentes, el tiempo de respuesta inicial máximo, los objetivos de punto de recuperación y los objetivos de tiempo de recuperación.

Los parámetros cualitativos pueden referirse a la eliminación de datos, los requisitos de ubicación de los datos, la portabilidad, la seguridad y la privacidad o protección de los datos. Algunos aspectos del servicio pueden medirse en función tanto de parámetros cualitativos como de parámetros cuantitativos. Por ejemplo, la elasticidad y la escalabilidad pueden definirse tomando como referencia tanto la disponibilidad máxima de los recursos en un plazo mínimo establecido como la calidad y la seguridad de las medidas que pueda ser necesario adaptar según los distintos grados de confidencialidad de los datos almacenados de los clientes. El cifrado puede expresarse como un valor definido de bits en reposo, en tránsito y en uso. Además de esos parámetros cuantitativos, o en lugar de ellos, se pueden utilizar parámetros cualitativos para medir el cifrado (por ejemplo, el proveedor debe asegurarse de que los datos del cliente estén cifrados cuando se transmitan por una red de comunicaciones pública, así como cuando estén en reposo en centros de datos utilizados por el proveedor).

Podrían pactarse distintos tipos de obligaciones (es decir, obligaciones de resultado o de medios) en función, sobre todo, de las condiciones de pago y de si se proporcionan o no soluciones genéricas y estandarizadas para múltiples suscriptores. El tipo de obligación que se estipule tendría consecuencias en caso de litigio, entre otras cosas con respecto a la carga de la prueba.

Evaluación de la cantidad y calidad de los servicios

Las partes pueden establecer en el contrato una metodología y unos procedimientos de evaluación, especificando en particular un período de referencia para la evaluación de los servicios (diario, semanal, mensual, etc.), los mecanismos de presentación de informes sobre la prestación de los servicios (es decir, la frecuencia y la forma en que se presentarán esos informes), la función y las responsabilidades de las partes, así como el sistema de medición que se utilizará (por ejemplo, si la medición se hará en el momento en que se presten los servicios o en el momento en que se utilicen). Las partes pueden convenir en que se haga una evaluación independiente de la cantidad y calidad de los servicios y pactar la forma en que se distribuirán los gastos conexos.

Normalmente, al cliente le interesa que la evaluación se haga en las horas de máxima intensidad de tráfico, es decir, cuando los servicios son más necesarios.

Por lo general, el cliente puede realizar mediciones (o verificar las que realice el proveedor o terceros), pero solo las que evalúen la cantidad y la calidad de los servicios en el momento en que se utilicen y no cuando se presten. El cliente tal vez pueda evaluar la calidad y la cantidad de los servicios en el momento en que se prestan a partir de los informes facilitados por el proveedor o por terceros. El proveedor puede convenir en proporcionar al cliente informes sobre la cantidad y calidad de los servicios cuando este lo solicite, ya sea de forma periódica (diaria, semanal, mensual, etc.) o cuando se produzca un determinado incidente. Como alternativa a lo anterior, el proveedor puede conceder al cliente el derecho a revisar sus registros de las mediciones cuantitativas y cualitativas de los servicios. Algunos proveedores permiten que el cliente haga un seguimiento de los datos relativos a la cantidad y calidad de los servicios en tiempo real.

El contrato puede obligar a una de las partes o a ambas a conservar durante algún tiempo los registros correspondientes a la prestación y la utilización de los servicios. Esa información puede resultar útil a la hora de negociar modificaciones al contrato y en caso de litigio.

Política de uso aceptable

En la política de uso aceptable (PUA) se establecen las condiciones de uso por el cliente y sus usuarios finales de los servicios de computación en la nube comprendidos en el contrato. Su finalidad es proteger al proveedor frente a la responsabilidad que pudiera derivarse de la actividad de sus clientes y los usuarios finales de estos últimos. Se espera que los posibles clientes acepten esta política, que formará parte del contrato celebrado con el proveedor. La inmensa mayoría de las PUA estándar prohíben sistemáticamente determinadas actividades que los proveedores consideran que constituyen usos inadecuados o ilícitos de los servicios de computación en la nube. Las PUA pueden restringir no solo el tipo de contenido que se permite alojar en la nube, sino también el derecho del cliente a autorizar el acceso por parte de terceros (por ejemplo, nacionales de determinados países o personas incluidas en las listas de sanciones) a los datos y otros contenidos alojados en la nube. Las partes pueden convenir en eliminar algunas prohibiciones para atender necesidades empresariales concretas del cliente, siempre que esa eliminación esté permitida por la ley.

Es habitual que el proveedor exija, como parte de sus condiciones estándar, que los usuarios finales del cliente también respeten la PUA y que el cliente haga todo lo posible, o todo lo que sea razonable desde el punto de vista comercial, para garantizar que sus usuarios la respeten. Algunos proveedores pueden exigir que los clientes tomen medidas para impedir todo uso no autorizado o inadecuado por parte de terceros de los servicios de computación en la nube que se brinden con arreglo al contrato. Las partes pueden pactar un conjunto limitado de obligaciones, por ejemplo, que el cliente comunique la PUA a los usuarios finales conocidos, no autorice ni permita deliberadamente usos no autorizados o inadecuados, y notifique al proveedor todo uso de esa índole que llegue a su conocimiento.

En algunas jurisdicciones, la ley podría imponer obligaciones a los proveedores con respecto al contenido alojado en su infraestructura de computación en la nube, por ejemplo, la obligación de informar a los organismos públicos de la existencia de material ilícito. Quizás no sea posible trasladar esas obligaciones al cliente ni a los usuarios finales mediante la PUA ni de ninguna otra manera. Además, podrían repercutir en la privacidad y en otros aspectos y serían uno de los factores que habría que tener en cuenta al elegir un proveedor adecuado (leer más).

Política de seguridad

Mantener la seguridad del sistema y de los datos del cliente es una responsabilidad compartida de las partes. En el contrato deberían especificarse las funciones y responsabilidades que incumbirán a cada parte en lo que respecta a las medidas de seguridad, a fin de reflejar las obligaciones que correspondan a una de las partes o a ambas en virtud de normas legales imperativas.

Por lo general, el proveedor aplicará sus propias políticas de seguridad.

En algunas situaciones, salvo en el caso de las soluciones genéricas y estandarizadas para múltiples suscriptores, se podría llegar a convenir en que el proveedor aplicara las políticas de seguridad del cliente. En el contrato pueden detallarse las medidas de seguridad que han de adoptarse (por ejemplo, los requisitos para la eliminación, irreversible o no, de los datos almacenados en un soporte dañado, el almacenamiento de distintos paquetes de datos en lugares diferentes o el almacenamiento de los datos del cliente en un equipo físico concreto, destinado exclusivamente a ese cliente).

No obstante, incluir una cantidad excesiva de información de seguridad en el contrato puede resultar peligroso.

Algunas medidas de seguridad no requieren la actuación de una de las partes, sino que dependen exclusivamente de las actividades ordinarias de la otra, como las inspecciones del equipo físico en que se almacenan los datos y se ejecutan los servicios que realiza el proveedor, así como las medidas eficaces para controlar el acceso a dicho equipo. En otros casos, la actuación de una parte puede ser necesaria para que la otra pueda cumplir sus obligaciones o evaluar y vigilar la calidad de las medidas de seguridad adoptadas. Por ejemplo, es posible que el cliente tenga que actualizar las listas con las credenciales de los usuarios y sus derechos de acceso, e informar de los cambios al proveedor con la antelación suficiente para garantizar el correcto funcionamiento de los mecanismos de gestión de la identidad y de acceso.

El cliente quizás tenga que comunicar también al proveedor el nivel de seguridad que deberá asignarse a cada categoría de datos.

Es posible que algunas amenazas a la seguridad queden fuera del marco contractual pactado entre el cliente y el proveedor, y que a raíz de ellas sea necesario ajustar las condiciones del contrato de computación en la nube a las de otros contratos suscritos por ellos (como los contratos celebrados con proveedores de servicios de Internet).

Integridad de los datos

En los contratos estándar de los proveedores puede figurar una cláusula de descargo general de responsabilidad en que se estipule que, en última instancia, la responsabilidad de preservar la integridad de los datos del cliente recaerá sobre este.

Algunos proveedores pueden estar dispuestos a asumir ciertos compromisos con respecto a la integridad de los datos (como realizar copias de seguridad con regularidad), quizás a cambio de un pago adicional. Con independencia de lo pactado con el proveedor, al cliente quizás le convendría preguntarse si no debería tener acceso a por lo menos una copia utilizable de sus datos que se encuentre fuera del control, el alcance o la influencia del proveedor y sus subcontratistas y en la que estos no participen.

Cláusula de confidencialidad

La decisión del proveedor de comprometerse o no a garantizar la confidencialidad de los datos del cliente dependerá de la naturaleza de los servicios que deban prestarse a este con arreglo al contrato y, en especial, de si necesitará tener acceso no cifrado a los datos para poder prestar tales servicios. Es posible que algunos proveedores no estén en condiciones de ofrecer una cláusula de confidencialidad o de no divulgación y que se eximan expresamente de asumir cualquier deber de confidencialidad respecto de los datos del cliente. Otros proveedores pueden estar dispuestos a asumir la responsabilidad de mantener la confidencialidad de los datos revelados por el cliente en el marco de la negociación del contrato, pero no la de los datos procesados durante la prestación de los servicios. Algunas cláusulas de confidencialidad estándar propuestas por los proveedores pueden no ser suficientes para garantizar el cumplimiento de la legislación aplicable.

En caso de que ni la ley ni el contrato impongan al proveedor un deber de confidencialidad, la responsabilidad de proteger (por ejemplo, mediante cifrado) el carácter reservado de los datos puede recaer íntegramente sobre el cliente. Cuando no sea posible negociar una cláusula general de confidencialidad aplicable a todos los datos del cliente alojados en la nube, las partes pueden pactar obligaciones de confidencialidad respecto de algunos datos de carácter delicado (estableciendo un régimen de responsabilidad independiente para el incumplimiento de la obligación de proteger la confidencialidad de dichos datos). Al cliente pueden preocuparle especialmente sus secretos comerciales, sus conocimientos especializados y la información que deba mantener en secreto por disposición de la ley o en virtud de compromisos asumidos con terceros. Las partes pueden convenir en restringir el acceso a esos datos a un número limitado de personas y exigir que cada una de ellas asuma individualmente un compromiso de confidencialidad, en especial si desempeñan funciones de alto riesgo (por ejemplo, los administradores del sistema, los auditores y las personas que se ocupan de los informes sobre la detección de intrusos y de responder a incidentes). En esos casos, normalmente corresponderá al cliente especificar al proveedor la información confidencial, el nivel de protección necesario, las normas legales o los requisitos contractuales que sean aplicables y todos los cambios que afecten a esa información, en particular los que se produzcan en la legislación aplicable.

En algunos casos, puede resultar necesario revelar los datos del cliente para cumplir lo pactado en el contrato. En otros, la obligación de revelar información puede dimanar de la ley, por ejemplo, cuando en ella se establezca el deber de proporcionar información a los organismos públicos competentes (véase el párr. 82 infra). En tales casos estarían justificadas ciertas excepciones a las cláusulas de confidencialidad.

El proveedor puede a su vez imponer al cliente la obligación de no revelar información sobre las medidas de seguridad del proveedor y otros detalles de los servicios prestados al cliente de conformidad con el contrato o con la ley.

Protección de datos, política de privacidad o acuerdo de procesamiento de datos

Los datos personales son objeto de una protección legal especial en muchas jurisdicciones. La ley aplicable al procesamiento de datos personales puede ser diferente de la que se aplica al contrato. En ese caso, dejará sin efecto las cláusulas contractuales que no se ajusten a ella.

En el contrato puede incluirse una cláusula de protección de datos o de privacidad, un acuerdo de procesamiento de datos u otro acuerdo similar, aunque quizás algunos proveedores solo acepten la obligación general de cumplir la legislación vigente en materia de protección de datos. En algunas jurisdicciones es posible que no baste con esa obligación general y que sea necesario estipular en el contrato, como mínimo, el objeto, la duración, la naturaleza y la finalidad del procesamiento de datos personales, el tipo de datos personales y las categorías de los sujetos de los datos, así como los derechos y las obligaciones del responsable de los datos y del procesador de los datos. Cuando no sea posible negociar la inclusión en el contrato de una cláusula de protección de datos, al cliente tal vez le convenga revisar las condiciones estándar para determinar si le ofrecen garantías suficientes de que los datos personales se procesarán de acuerdo con la ley y si se prevén en ellas mecanismos de reparación adecuados en caso de daños y perjuicios.

Es probable que el cliente sea el responsable de los datos y que asuma la obligación de cumplir las leyes sobre protección de datos en lo que respecta a los datos personales recopilados y procesados en la nube. Las partes pueden acordar cláusulas contractuales destinadas a garantizar el cumplimiento de la normativa aplicable en materia de protección de datos, en particular las disposiciones relativas a las solicitudes relacionadas con los derechos de los sujetos de los datos. También pueden estipular otras medidas específicas para el caso de que se incumplan esas cláusulas, como la posibilidad de poner fin al contrato de manera unilateral o reclamar una indemnización por daños y perjuicios.

En los contratos estándar de los proveedores suele estipularse que estos no asumen la función de responsable de los datos. Es probable que solo actúen como procesadores de los datos del cliente cuando los procesen siguiendo las instrucciones de este con el único fin de prestar los servicios de computación en la nube.

No obstante, y con independencia de lo pactado en el contrato, es posible que en algunas jurisdicciones se considere también que el proveedor es el responsable de los datos cuando los procese además para sus propios fines o siguiendo instrucciones de organismos del Estado, en cuyo caso podría tener que asumir la plena responsabilidad de la protección de los datos personales que fueran objeto de ese procesamiento adicional (véase el párr. 125 infra).

Obligaciones derivadas de la violación de datos y otros incidentes de seguridad

Es posible que en la ley o el contrato, o en ambos, se establezca que cuando una de las partes se entere o tenga la sospecha de que se ha producido un incidente de seguridad importante para el contrato, esa parte estará obligada a notificar inmediatamente a la otra dicha circunstancia. Esa obligación puede existir además del deber general de notificación de los incidentes de seguridad que pueda estar establecido en la ley y que exija informar a todas las partes interesadas (incluidos los sujetos de los datos, las compañías de seguros, los organismos del Estado o el público en general) a fin de evitar o reducir al mínimo los efectos de esos incidentes.

Es posible que en la ley se establezcan requisitos específicos con respecto a la notificación de los incidentes de seguridad, en particular el momento en que debe realizarse esa notificación, y que se indiquen las personas responsables de que se cumplan dichos requisitos. Siempre y cuando se atengan a esas normas imperativas, las partes pueden especificar en el contrato el plazo en que deberá realizarse la notificación (por ejemplo, un día después de que la parte haya tenido conocimiento del incidente o la amenaza), así como la forma y el contenido que esta deberá tener. En cuanto al contenido de la notificación, generalmente abarca las circunstancias y la causa del incidente, el tipo de datos afectados, las medidas que se prevé adoptar para resolver el incidente, el plazo en que se espera resolverlo y los planes de emergencia que se han de emplear mientras se resuelve. También puede incluirse en la notificación información sobre intentos fallidos de quebrantar la seguridad, ataques contra objetivos concretos (desglosados por usuario del cliente, aplicación específica o máquina física concreta), tendencias y estadísticas. Al establecer los requisitos de notificación se suele tener en cuenta la necesidad de no revelar información delicada que pueda poner en peligro los sistemas, la red o las operaciones de la parte afectada.

La ley o el contrato pueden exigir que el proveedor, el cliente o ambos, por sí mismos o con la participación de un tercero, adopten medidas después de un incidente de seguridad (denominadas “medidas posteriores al incidente”), entre ellas el aislamiento o la puesta en cuarentena de las zonas afectadas, la realización de análisis de las causas profundas del incidente y la elaboración de un informe de análisis del incidente. Este informe puede ser realizado por la parte afectada, o por esta junto con la otra parte, o por un tercero independiente. Las medidas posteriores al incidente pueden variar en función de las categorías de datos almacenados en la nube y otros factores.

Un incidente de seguridad grave que tuviera como consecuencia, por ejemplo, la pérdida de datos podría dar lugar a la resolución del contrato.

Requisitos de ubicación de los datos

En sus condiciones estándar, el proveedor puede reservarse expresamente el derecho de alojar los datos del cliente en cualquier país en que operen él o sus subcontratistas. Es muy probable que se siga dicha práctica incluso cuando no se haya establecido expresamente ese derecho en el contrato, ya que en la prestación de los servicios de computación en la nube está implícito el hecho de que, por regla general, esos servicios se suministran desde más de un lugar (por ejemplo, las copias de seguridad y la protección antivirus pueden hacerse a distancia y el servicio de apoyo al cliente puede ofrecerse siguiendo el modelo de aprovechamiento de los husos horarios). Es posible que esa práctica no se ajuste a los requisitos de ubicación de los datos aplicables a una de las partes o a ambas (leer más).

En el contrato pueden incluirse medidas de salvaguardia destinadas a garantizar el cumplimiento de los requisitos de ubicación de los datos, como la prohibición de trasladar datos y otros contenidos fuera del lugar especificado o la obligación de obtener una autorización previa de la otra parte para hacerlo. Por ejemplo, se puede incluir un parámetro cualitativo en un SLA para garantizar que los datos del cliente (incluidas todas sus copias, metadatos y copias de seguridad) se almacenen exclusivamente en centros de datos ubicados físicamente en las jurisdicciones indicadas en el contrato y cuya propiedad y administración correspondan a entidades establecidas en dichas jurisdicciones. Como alternativa a lo anterior, se podría utilizar ese parámetro, por ejemplo, para prohibir que los datos se trasladaran fuera de un país o región en particular y a la vez permitir que se duplicaran en un país determinado o en cualquier otro lugar, salvo en un país en concreto.

Los términos pertinentes del glosario

Requisitos de ubicación de los datos: requisitos relativos a la ubicación de los datos y otros contenidos, de los centros de datos, o del proveedor. Pueden entrañar la prohibición de alojar o trasladar determinados datos (como los metadatos y las copias de seguridad) dentro o fuera de una zona o jurisdicción determinada, o la obligación de obtener previamente la autorización de un órgano estatal competente para poder hacerlo. Suelen estar previstos en las leyes y reglamentos sobre protección de datos, que pueden establecer en particular la prohibición de alojar datos personales en jurisdicciones que no respeten determinadas normas de protección de datos personales, o de trasladar datos personales a esas jurisdicciones.

Aprovechamiento de los husos horarios (“follow the sun”): modelo en que el volumen de trabajo se distribuye entre diferentes lugares geográficos para equilibrar los recursos y la demanda de manera más eficiente. El propósito de este modelo puede ser prestar los servicios de manera ininterrumpida y reducir al mínimo la distancia media entre los servidores y los usuarios finales a fin de disminuir la latencia y aumentar al máximo la velocidad de transmisión de los datos entre un dispositivo y otro (velocidad de transferencia de datos o caudal de datos).

Metadatos: información básica sobre los datos (como su autor, fecha y hora de creación y de modificación y el tamaño del archivo). Hacen que resulte más sencillo encontrar y utilizar los datos y pueden ser necesarios para garantizar la autenticidad de los registros. Pueden ser generados por el cliente o el proveedor.

Incidente de seguridad: hecho que indica que se ha quebrantado la seguridad del sistema o de los datos o que han fallado las medidas adoptadas para protegerlos. Un incidente de seguridad altera el funcionamiento normal del sistema. Son ejemplos de incidentes de seguridad los intentos de acceso no autorizados al sistema o a los datos, la interrupción imprevista de un servicio o la denegación de un servicio, el procesamiento o el almacenamiento no autorizados de datos y los cambios no autorizados en la infraestructura del sistema.

Sujeto de los datos: persona física cuya identidad puede determinarse, directa o indirectamente, a través de los datos, por ejemplo, por referencia a datos identificadores como el nombre, un número de identificación, la ubicación y otros factores relacionados con la identidad física, genética, mental, económica, cultural o social de la persona. En varias jurisdicciones, las normas sobre protección o privacidad de los datos confieren a los sujetos de los datos determinados derechos sobre los datos que permiten identificarlos. Esas normas pueden dar lugar a que se incluyan parámetros cuantitativos y cualitativos específicos sobre la protección de datos en el acuerdo de prestación de servicios (SLA), por ejemplo, que un auditor independiente certifique, al menos una vez al año, que los servicios prestados en virtud del contrato cumplen la norma sobre protección o privacidad de los datos indicada en el propio contrato. (Véanse también las definiciones de derechos de los sujetos de los datos y datos personales).

Acuerdo de prestación de servicios (SLA): parte del contrato de computación en la nube celebrado entre el proveedor y el cliente en la que se describen los servicios de computación en la nube comprendidos en el contrato y los parámetros a que se espera o se exige que se ajusten esos servicios de conformidad con el contrato (véase la definición de parámetros cuantitativos y cualitativos).