Notas sobre las principales cuestiones relacionadas con los contratos de computación en la nube (preparada por la secretaría de la CNUDMI, 2019)
Primera parte. Principales aspectos
precontractuales
A. VERIFICACIÓN DE LA EXISTENCIA DE NORMAS
LEGALES IMPERATIVAS Y OTROS REQUISITOS
El régimen legal aplicable al cliente, al proveedor o a ambos puede imponer ciertas condiciones para la celebración de un contrato de computación en la nube. Esas condiciones también pueden tener su origen en obligaciones contractuales, como las que surgen de las licencias de propiedad intelectual (PI). Las partes deberían prestar especial atención a las leyes y reglamentos en materia de datos personales, protección del consumidor, ciberseguridad, control de las exportaciones, aduanas, impuestos y secretos comerciales, a la reglamentación específica en materia de PI y a la normativa propia de cada sector que pudieran serles aplicables a ellas mismas y a su futuro contrato. El incumplimiento de los requisitos obligatorios puede acarrear importantes consecuencias negativas, entre ellas la nulidad o la inexigibilidad de la totalidad o una parte del contrato, la imposición de multas administrativas y la responsabilidad penal.
Las condiciones exigidas para celebrar un contrato de computación en la nube pueden variar según el sector y la jurisdicción de que se trate. Por ejemplo, puede requerirse la adopción de medidas especiales para proteger los derechos de los sujetos de los datos, el despliegue de un determinado modelo (por ejemplo, nube privada en lugar de pública), el cifrado de los datos alojados en la nube y el registro ante organismos públicos de una operación o un programa informático utilizado en el procesamiento de los datos personales. También pueden exigirse requisitos de ubicación de los datos, así como otras condiciones relacionadas con el proveedor.
Ubicación de los datos
Los requisitos de ubicación de los datos pueden derivarse en particular de la legislación aplicable a los datos personales, los datos contables y los datos del sector público, así como de las leyes y reglamentos de fiscalización de las exportaciones que pueden limitar la transmisión de determinados programas informáticos o información hacia o desde determinados países o regiones. Será de suma importancia para las partes cumplir los requisitos de ubicación de los datos establecidos en la ley aplicable, los que no podrán dejarse sin efecto por la vía del contrato.
Los requisitos de ubicación de los datos también pueden emanar de obligaciones contractuales (por ejemplo, licencias de PI en las que se exija que el contenido bajo licencia se almacene en los servidores seguros del propio usuario). También es posible que se prefiera establecer requisitos de ubicación de los datos por razones puramente prácticas, por ejemplo, para reducir la latencia, lo que puede ser especialmente importante en las operaciones en tiempo real, como las de tipo bursátil. (Leer mas sobre las medidas de salvaguardia que pueden incluirse en el contrato respecto de la ubicación de los datos.
Elección de la parte contratante
La elección de una parte contratante puede estar limitada no solo por las condiciones del mercado sino también por disposición de la ley. Es posible que exista una prohibición legal de celebrar contratos de computación en la nube con personas o entidades extranjeras, de determinadas jurisdicciones o que no hayan sido acreditadas ante los organismos públicos competentes o no hayan recibido certificación de estos. También puede supeditarse la prestación de servicios de computación en la nube por parte de una persona o entidad extranjera en una jurisdicción determinada a que esa persona o entidad constituya una empresa mixta con una entidad nacional u obtenga determinadas licencias y permisos locales, entre ellos permisos de exportación. En la elección de la parte contratante también pueden influir los requisitos de ubicación de los datos (véanse los párrs. 10 y 11 supra), así como las disposiciones legales por las que se obligue a alguna de las partes a comunicar datos y otros contenidos a organismos públicos extranjeros o a facilitar el acceso de esos organismos a dichos datos o contenidos.
B. EVALUACIÓN PRECONTRACTUAL DE LOS RIESGOS
Las normas imperativas de la ley aplicable pueden exigir que se realice una evaluación de los riesgos como condición para celebrar un contrato de computación en la nube. Aun cuando la ley no imponga ese requisito, las partes pueden decidir llevar a cabo una evaluación de los riesgos que quizás les permita encontrar estrategias para mitigarlos, entre ellas la negociación de determinadas cláusulas contractuales.
No todos los riesgos derivados de los contratos de computación en la nube están relacionados específicamente con la nube. Respecto de algunos de ellos (por ejemplo, los riesgos derivados de las interrupciones de la conexión a Internet) habrá que tomar medidas fuera del marco de un contrato de computación en la nube, y no todos los riesgos podrán mitigarse a un costo aceptable (por ejemplo, el riesgo de deterioro de la reputación). Además, la evaluación de los riesgos no es por lo general una medida que se adopte una sola vez antes de celebrar un contrato. Es posible que los riesgos se evalúen continuamente durante el período de vigencia del contrato y que, a raíz de esas evaluaciones, sea necesario modificar el contrato o ponerle fin.
Verificación de la información sobre determinados servicios de computación en la nube y una determinada parte contratante
La siguiente información puede resultar de interés para las partes cuando consideren la posibilidad de utilizar un determinado servicio de computación en la nube en particular y elegir a una parte contratante:
(a) las licencias de PI necesarias para utilizar un determinado servicio de computación en la nube;
(b) las políticas de privacidad, confidencialidad y seguridad existentes, en especial en lo que respecta a la prevención del acceso, la utilización, la alteración o la destrucción no autorizados de los datos durante su procesamiento, tránsito o transmisión mediante el uso de infraestructura de computación en la nube;
(c) las medidas destinadas a garantizar el acceso continuado a los metadatos, registros de auditoría y otros registros que muestren las medidas de seguridad adoptadas;
(d) la existencia de un plan de recuperación en casos de desastre y obligaciones de notificación en caso de violación de la seguridad o mal funcionamiento del sistema;
(e) las políticas aplicables a la prestación de asistencia en los procesos de migración a la nube y finalización del servicio, así como en materia de interoperabilidad y portabilidad;
(f) los métodos actuales de investigación de antecedentes y capacitación de los empleados, subcontratistas y otros terceros que participen en la prestación de los servicios de computación en la nube;
(g) las estadísticas relativas a los incidentes de seguridad y la información cuantitativa y cualitativa sobre los servicios prestados en anteriores procedimientos de recuperación en casos de desastre;
(h) la certificación otorgada por un tercero independiente que acredite el cumplimiento de las normas técnicas;
(i) la información sobre la periodicidad y el alcance de la auditoría realizada por un órgano independiente;
(j) la viabilidad financiera;
(k) las pólizas de seguro;
(l) los posibles conflictos de intereses;
(m) el alcance de la subcontratación y de los servicios estratificados de computación en la nube;
(n) el grado de aislamiento de los datos y otros contenidos en la infraestructura de computación en la nube; y
(o) las funciones que cada parte espera que asuma la otra y la responsabilidad compartida por las partes con respecto a las medidas de seguridad.
Riesgo de que se vulneren derechos de PI
Puede existir el riesgo de que se vulneren derechos de PI en los casos en que, por ejemplo, el proveedor no sea el propietario de los recursos que suministra a sus clientes ni quien los ha desarrollado, sino que los utilice en virtud de un acuerdo de licencia de PI celebrado con un tercero. También puede surgir dicho riesgo cuando, para llevar a efecto lo estipulado en el contrato, se exige al cliente que otorgue al proveedor una licencia de uso del contenido que el cliente desea almacenar en la nube. En algunas jurisdicciones, el almacenamiento de contenido en la nube, incluso con el fin de hacer copias de seguridad, puede considerarse una reproducción y requerir la autorización previa del titular de los derechos de PI.
Convendrá a los intereses de ambas partes asegurarse, antes de firmar el contrato, de que el uso de los servicios de computación en la nube no constituirá una violación de derechos de PI ni una causal de revocación de las licencias concedidas a cualquiera de las partes. El costo de incurrir en una violación de derechos de PI puede ser muy elevado. Es posible que sea necesario pactar el derecho a conceder sublicencias, o celebrar directamente con el correspondiente tercero licenciante un contrato de licencia por el que se otorgue el derecho a gestionar las licencias. Para utilizar programas informáticos de código abierto u otros contenidos tal vez haya que obtener previamente el consentimiento de terceros y revelar el código fuente con las modificaciones introducidas en esos programas y otros contenidos.
Riesgos para la seguridad, la integridad, la confidencialidad y la privacidad de los datos
Cuando se realiza la migración total o parcial de los datos a la nube, el cliente pierde tanto el control exclusivo de los datos como la capacidad de aplicar las medidas necesarias para garantizar la integridad y la confidencialidad de los datos o verificar si estos se están procesando y conservando correctamente. El grado de pérdida de control dependerá del tipo de servicios de computación en la nube.
Debido a las características inherentes a los servicios de computación en la nube, como el acceso amplio a la red, el arrendamiento múltiple y la combinación de recursos, es posible que las partes tengan que adoptar más precauciones para evitar la interceptación de las comunicaciones y otras formas de ciberataque que puedan dar lugar a la pérdida o alteración de las credenciales de acceso a los servicios de computación en la nube, la pérdida de datos y otras violaciones de la seguridad. El aislamiento adecuado de los recursos, la segregación de los datos y la adopción de procedimientos de seguridad rigurosos son especialmente importantes en entornos compartidos como el de la computación en la nube.
La adopción de medidas de seguridad será una responsabilidad compartida por las partes en el entorno de la computación en la nube, independientemente del tipo de servicios de computación en la nube que se utilicen. La evaluación de los riesgos en la etapa precontractual ofrece una buena oportunidad para que las partes eliminen cualquier ambigüedad que pueda existir en la definición de sus funciones y responsabilidades en lo que respecta a la seguridad, la integridad, la confidencialidad y la privacidad de los datos. Las cláusulas del contrato serán importantes para reflejar lo acordado por las partes en cuanto a la distribución de los riesgos y las responsabilidades entre ellas en relación con esos y otros aspectos de la prestación de servicios de computación en la nube. Sin embargo, dichas cláusulas no podrán dejar sin efecto las disposiciones imperativas de la ley (leer mas).
Pruebas de penetración, auditorías e inspecciones in situ
En la etapa precontractual pueden adoptarse medidas para verificar que el aislamiento de los recursos, la segregación de los datos, los procedimientos de identificación y otras medidas de seguridad sean adecuados. Tales medidas deberían estar dirigidas a determinar las posibles precauciones adicionales que las partes quizás deban adoptar para prevenir violaciones de la seguridad de los datos y otros problemas de funcionamiento en la prestación de los servicios de computación en la nube al cliente.
Los centros de datos que se utilizan para prestar servicios de computación en la nube pueden tener que someterse, por disposición legal o reglamentaria, a auditorías, pruebas de penetración e inspecciones físicas, especialmente para verificar que el lugar en que se encuentran se ajusta a los requisitos de ubicación de los datos previstos en la ley (véanse los párrs. 10 y 11 supra). Las partes tendrán que ponerse de acuerdo sobre las condiciones en que se llevarán a cabo esas actividades, en particular el momento en que se realizarán, la forma en que se distribuirán los gastos y la indemnización que deberá pagarse en caso de que se produzcan daños como resultado de esas actividades.
Riesgos de dependencia
Una de las cuestiones más importantes que las partes deberían tener en cuenta es la de evitar o reducir los riesgos de dependencia que suelen derivarse de la falta de interoperabilidad y portabilidad. En los contratos a largo plazo, así como en los contratos a corto y mediano plazo que se renuevan automáticamente, el riesgo de dependencia puede ser mayor.
Los riesgos de dependencia de las aplicaciones y los datos son especialmente elevados en los servicios de tipo Saas y PaaS. Los datos pueden estar en formatos específicos de un sistema de nube que no sean utilizables en otros sistemas. Además, es posible que la aplicación o el sistema utilizados para organizar los datos estén patentados y que, por lo tanto, sea necesario modificar las condiciones de la licencia para permitir el funcionamiento en una red diferente. En los casos en que se hayan elaborado programas a fin de interactuar con las interfaces de programación de aplicaciones (API), puede ser necesario volver a escribir el programa para tener en cuenta la API del nuevo sistema. Esos cambios también pueden entrañar gastos elevados como
consecuencia de la necesidad de volver a capacitar a los usuarios finales.
En el caso de los servicios PaaS, también podría existir dependencia de las versiones de ejecución de los programas, ya que esas versiones (es decir, los programas informáticos diseñados para apoyar la ejecución de programas informáticos escritos en un lenguaje de programación específico) suelen estas muy personalizadas (por ejemplo, en lo concerniente a aspectos como la asignación o la liberación de memoria, la depuración de errores, etc.). En lo que respecta a los servicios IaaS, la dependencia varía en función de los servicios de infraestructura específicos que se utilicen, aunque, al igual que los servicios PaaS, algunos servicios de infraestructura también pueden dar lugar a una dependencia de las aplicaciones si el servicio depende de determinados aspectos de política (por ejemplo, de los controles de acceso). Algunos servicios de infraestructura también pueden dar lugar a una dependencia de los datos si se traslada a la nube un mayor volumen de datos para su almacenamiento.
En la etapa precontractual podrían realizarse pruebas para verificar si los datos y otros contenidos pueden exportarse a otro sistema y ser utilizables en él. Es posible que sea necesario sincronizar las plataformas internas del cliente con las que están en la nube y reproducir los datos en otro lugar. Una estrategia importante para mitigar los riesgos de dependencia puede ser la de contratar con más de una parte y optar por una combinación de diversos tipos de servicios de computación en la nube y sus modelos de despliegue (por ejemplo, emplear múltiples proveedores), aunque ello podría repercutir en los costos y acarrear otras consecuencias. Algunas cláusulas contractuales también pueden ayudar a mitigar los riesgos de dependencia (leer más).
Riesgos para la continuidad de las operaciones
Los riesgos relacionados con la continuidad de las operaciones pueden preocupar a las partes no solo cuando se acerca la fecha prevista de vencimiento del contrato, sino también cuando existe la posibilidad de que se produzca una suspensión unilateral o una resolución anticipada del contrato, en particular en el caso de que alguna de las partes cese en sus actividades comerciales. Es posible que la ley exija que se adopte de antemano una estrategia adecuada que garantice la continuidad de las operaciones, especialmente para
evitar las consecuencias negativas de la cancelación o la suspensión de los servicios de computación en la nube para los usuarios finales. La inclusión de determinadas cláusulas en el contrato también puede ayudar a mitigar los riesgos para la continuidad de las operaciones (leer más).
Estrategias de salida
Para que las estrategias de salida sean eficaces, las partes quizás tengan que aclarar desde el principio: a) el contenido al que podrá darse salida (por ejemplo, únicamente los datos que el cliente haya subido a la nube o también los datos obtenidos de los servicios de nube); b) las modificaciones que será necesario realizar en las licencias de PI para permitir el uso de ese contenido en otro sistema; c) el control de las claves de descifrado y el acceso a ellas; y d) el tiempo necesario para completar la salida. Las cláusulas contractuales relativas a la finalización del servicio suelen reflejar el acuerdo alcanzado por las partes respecto de esas cuestiones (leer más).
C. OTRAS CUESTIONES PRECONTRACTUALES
Revelación de información
Es posible que la legislación aplicable exija que las futuras partes contratantes se suministren recíprocamente información que les permita tomar una decisión fundamentada sobre la celebración del contrato. La falta de comunicación clara a la otra parte de la información necesaria para que el objeto de las obligaciones quede determinado o sea susceptible de determinarse antes de que se celebre el contrato puede acarrear la nulidad de la totalidad o una parte de este, o dar derecho a la parte perjudicada a reclamar una indemnización por daños y perjuicios.
En algunas jurisdicciones, la información precontractual puede considerarse parte integrante del contrato. En tales casos, las partes deberían asegurarse de que esa información quede debidamente registrada y evitar cualquier discrepancia entre ella y el contenido del propio contrato. Las partes tendrían que ocuparse también de las cuestiones relacionadas con los efectos que la información revelada en la etapa precontractual puede tener sobre la flexibilidad y la innovación en la fase de ejecución del contrato.
Confidencialidad
Es posible que parte de la información revelada en la etapa precontractual se considere confidencial, especialmente la relativa a las medidas de seguridad, identificación y autenticación, los subcontratistas, la clase de centros de datos de que se trata y el lugar en que se encuentran (lo que a su vez puede permitir identificar el tipo de datos almacenados en esos centros y los organismos públicos locales o extranjeros que tienen acceso a dichos datos). Las partes pueden convenir en que determinada información revelada en la etapa precontractual se trate de manera confidencial. Tal vez también se exija que los terceros que participan en el proceso de diligencia debida anterior a la celebración del contrato (por ejemplo, los auditores) se comprometan por escrito a mantener la confidencialidad o firmen acuerdos de no divulgación.
Migración a la nube
Antes de migrar datos a la nube se suele pedir al cliente que clasifique los datos que va a migrar, los asegure en función de su grado de confidencialidad e importancia e informe al proveedor sobre el nivel de protección necesario para cada tipo de datos. Es posible que el cliente también deba proporcionar al proveedor otro tipo de información necesaria para la prestación de los servicios (como el plan de conservación y eliminación de los datos del cliente, la identidad del usuario y los mecanismos y procedimientos de gestión de acceso para acceder a las claves de cifrado, si fuera necesario).
Además de la transmisión de datos y otros contenidos a la nube del proveedor, la migración a la nube puede entrañar la adopción de procedimientos de instalación, configuración, cifrado y prueba, así como la capacitación del personal del cliente y otros usuarios finales. Esos aspectos pueden preverse en el contrato celebrado entre el cliente y el proveedor o en otro contrato independiente que el cliente suscriba con el proveedor o terceros, como colaboradores de los servicios de computación en la nube. Pueden surgir gastos adicionales. Las partes que participan en la migración suelen ponerse de acuerdo sobre las funciones y responsabilidades que les incumbirán durante ese proceso, las condiciones de su participación, el formato en que se migrarán los datos u otros contenidos a la nube, el calendario de la migración, el procedimiento de aceptación que se utilizará para confirmar que la migración se llevó a cabo conforme a lo acordado y otros detalles del plan de migración.