miércoles, 10 de abril de 2013

Apuntes jurídicos sobre los contratos en Cloud Computing


Resumen: El artículo analiza de manera panorámica todo aquel conjunto de elementos fundamentales a tener en consideración a la hora del diseño de un contrato de externalización de servicios en modalidad de Cloud Computing.


Autor del artículo
Colaboración
GONZALO SALAS CLAVER
 
 
Actualizado
 
10 de abril de 2013
 

ÍNDICE


1. PREÁMBULO Y PARTE GENERAL
2. EL CONTRATO Y SU CALIFICACIÓN
3. ELEMENTOS BÁSICOS QUE DEBE RECOGER EL CONTRATO

3.1. DESCRIPCIÓN DETALLADA DEL SERVICIO
3.2. TIPO DE SERVICIOS DEL CLIENTE, SOPORTADOS SOBRE EL MODELO CLOUD

         3.2.1. Sector Bancario
         3.2.2. Facturación electrónica
         3.2.3. Protección de datos de carácter personal

3.3. DESCRIPCIÓN DEL TIPO DE INFRAESTRUCTURA
3.4. CAPACIDAD DEL SERVICIO
3.5. GOBERNANZA
3.6. AUDITORÍAS
3.7. EJECUCIÓN Y CALIDAD DE LOS SERVICIOS
3.8. ENTRADA EN VIGOR Y DURACIÓN DEL SERVICIO
3.9. REVERSIBILIDAD
3.10. CONFIDENCIALIDAD DEL SERVICIO
3.11. DISPONIBILIDAD DEL SERVICIO
3.12. ACUERDOS DE NIVEL DE SERVICIO
3.13. REQUERIMIENTOS LEGALES
3.14. PROPIEDAD INTELECTUAL
3.15. SEGURIDAD DE LA INFORMACIÓN
3.16. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
3.17. CESIÓN- SUBCONTRATO
3.18. RESPONSABILIDADES Y OBLIGACIONES
3.19. SEGURO
3.20. LEY APLICABLE Y FUERO

4. EPÍLOGO
5. DERECHOS DE AUTOR

1. PREÁMBULO Y PARTE GENERAL


Llevamos una temporada de continuo bombardeo sobre soluciones Cloud Computing, como gran paradigma de soluciones de computación, caracterizado por su pago por uso, virtualización, multiusuario, escalable y de acceso sin restricciones.

Su desarrollo esta fuertemente asociado al fortalecimiento de las redes y de sus capacidades, junto a la aplicación de los principios de economía de escala, que permite reducciones de cotes y permite indiscutiblemente ganar en competitividad.

Pero, pese a que las ventajas son evidentes, existen ciertos frenos o reticencias. Gartner identifica, siete riesgos en el área del Cloud Computing:

·       La confianza del proveedor: Externalizar aplicaciones y datos corporativos conlleva hacerlo con alguien de total confianza, que asegure la calidad del servicio.

·       Conformidad legal.

·       Localización de los datos: Es uno de los puntos fuertes del Cloud Computing pero también uno de sus riesgos.

·       Protección de la información.

·       Recuperación en caso de desastres.

·       Colaboración con la Justicia y Organismos de Supervisión y Control.

·       Una relación ‘para toda la vida’: La sostenibilidad del proveedor tiene que estar garantizada. Fusiones, quiebras, cualquier cambio en su negocio no puede dejar ‘indefenso’ al cliente.

Todo elemento de desconfianza, supone un importante freno para su implantación y para las posibilidades que la solución permite, mermando su consolidación.

Siete elementos de riesgo, todos ellos con una clara connotación jurídica, que deben o pueden intentar mitigarse correctamente a través de la correspondiente relación contractual, y de esta manera minimizar responsabilidades (In contrahendo, In eligendo e In vigilando)

Como la nube esta aquí y bajo esa aureola de beneficios, va a quedarse el tiempo suficiente como para ser tomada muy en cuenta por las organizaciones, aquí este primer apunte jurídico sobre los contratos en Cloud Computing.

Como Doctores tiene la Santa Madre Iglesia, analizaremos de manera panorámica todo aquel conjunto de elementos fundamentales a tener en consideración a la hora del diseño del contrato, para como indicábamos, intentar mitigar los riesgos terrenales expuestos por Gartner. Como decía Pasteur, “no es tanto el bacilo como el terreno”.

El artículo busca dar una visión pragmática dirigida hacia legos en la materia, huyendo de un artículo doctrinal que pudiese tener cabida dentro de la Real Academia de Jurisprudencia y Legislación.

Al mismo tiempo, por la propia limitación del artículo, pretendo únicamente ayudar a la comprensión de cada uno de los elementos básicos, servir de iniciación, marcar la estructura vertebral, sin entrar en soluciones específicas que cada proveedor - cliente, puedan entrar a negociar en base a las distintas necesidades o casuísticas.

2. EL CONTRATO Y SU CALIFICACIÓN

Empecemos con el elemento básico. El Contrato y su Calificación. Contrato, entendido como la voluntad común de los contratantes elevada a norma vinculante, o como negocio jurídico bilateral productor de obligaciones, y expresión de efectos jurídicos (Contractus Lex).

El Termino Cloud Computing ha sido definido por el NIST (National Institute of Standars and Technology) como un modelo tecnológico que permite el acceso ubicuo, adaptado y bajo demanda en red, a un conjunto compartido  de recurso de computación configurables compartidos, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo de gestión reducido o interacción mínima con el proveedor del servicio.

Bajo dicho modelo, entran servicios de hardware, software, comunicaciones y servicios profesionales asociados, elementos todos ellos que deben ser debidamente regulados dentro del contrato a los efectos de dar efectividad a la realización de los fines propuestos.

La primera pregunta a realizarse es ¿Estamos ante un contrato de obra o de servicios? Primer gran antagonismo. Cada una de las partes va a querer definirlo de manera opuesta. El proveedor como un contrato de servicios que solo implica una obligación de medios, mientras que el cliente como un contrato de obra que implica una obligación de resultados.

El tema no es baladí en cuanto a la naturaleza jurídica del contrato. El arrendamiento de obra y el de servicios es calificado de forma reiterada por el Tribunal Supremo que radica, en el artículo 1.544 del Código Civil. Se trata de la conocida distinción procedente del derecho romano entre la locatio operis y la locatio operarum y cuya diferencia radica, en que en el primero se compromete al resultado, sin consideración al trabajo que lo crea, mientras que el último es la prestación del trabajo en si misma y no el resultado que produce. Fuente de obligaciones y cargas o elemento eximente de las mismas.

Este tipo de contratos suelen ser muy complejos derivado de los embrollos de los bienes y servicios encadenados sobre los que se contrata y donde siempre se debe tener en cuenta el equilibrio entre las partes y el principio de buena fe contractual.

3. ELEMENTOS BÁSICOS QUE DEBE RECOGER EL CONTRATO

3.1. DESCRIPCIÓN DETALLADA DEL SERVICIO

Gran importancia tiene la descripción del objeto y causas del contrato como preámbulo de los derechos y obligaciones que posteriormente se expondrán en las clausulas del contrato.

 

Al mismo tiempo, una buena descripción detallada del servicio, permite una correcta calificación del contrato que constituye una labor insertada dentro de la interpretación del mismo y mostrar el fin jurídico que los contratantes pretenden alcanzar.

 

Por la naturaleza propia del modelo Cloud Computing, es fundamental a los efectos de estricta seguridad jurídica, mostrar:

 

·       Ubicación del prestador del servicio.

·       Localización de los servicios.

·       Emplazamiento de las infraestructuras donde vayan a estar desplegadas las maquinas y plataformas.

·       Tipo de servicios contratados.

 

3.2. TIPO DE SERVICIOS DEL CLIENTE, SOPORTADOS SOBRE EL MODELO CLOUD

Determinados servicios externalizados sobre este modelo, pueden contar con una especial regulación sectorial, que requiera de determinadas particularidades sobre el contrato y/o el servicio (elementos en materia de seguridad, accesibilidad, monitorización y auditabilidad entre otros) a la par que autorizaciones de ámbito administrativo.

 

Por tanto, de cara a reflejar las citadas particularidades que llevarán aparejado determinados tipos de obligaciones dentro del contrato, es importante reflejar e inventariar todos los tipos de servicio que vayan a ser soportados, para posteriormente marcar las obligaciones de manera particular y no con carácter general y de esta manera, ganar en la gobernanza del servicio.

 

Así por ejemplo:

 

3.2.1. Sector Bancario

El sector bancario, a juicio del Banco de España, considera este tipo de contratos Cloud Computing, como una variedad del contrato de delegación de servicios o funciones, al que se refiere el apartado cuarto de la norma centésima quinta de la Circular 3/08, de 22 de Mayo, sobre determinación y control de los recursos propios mínimos.

Dicha Circular establece que los citados contratos deben cumplir entre otras, las siguientes condiciones:

·       Que las capacidades de control interno de las propias entidades no se vean disminuidas como consecuencia de la delegación. El control interno debe extenderse a todos los aspectos de la actividad de las entidades, incluyendo aquellos que son objeto de delegación.

·       Que las capacidades de supervisión del Banco de España no se vean menoscabadas como consecuencia de la delegación.

Al mismo tiempo, con carácter previo, se debe comunicar al Servicio de Inspección del Banco de España dicha delegación de servicios informáticos.

 

3.2.2. Facturación electrónica

En el ámbito de la facturación electrónica, cuando éstas vayan a estar almacenadas fuera del territorio nacional, se requiere de la correspondiente autorización previa de la Agencia Tributaria (Artículo 22 del RD 1619/2012 de 30 de Noviembre). A la par que se debe garantizar en todo momento el acceso a las mismas y sin demora a la Agencia Tributaria.

 

3.2.3. Protección de datos de carácter personal

En el ámbito de la protección de datos de carácter personal, aquellos servicios ubicados fuera de aquellos países considerados con un nivel de protección equiparable, requerirá la autorización previa del Director de la Agencia Española de Protección de Datos, a la par que el contrato deberá reunir otra serie de elementos especiales como:

 

·       Que las partes responderán solidariamente frente a los particulares, a la Agencia Española de Protección de Datos y frente a los Órganos Jurisdiccionales Españoles frente a los eventuales incumplimientos del contrato y que sean constitutivos de infracción según la normativa de protección de datos de carácter personal.

·       Que el prestador del servicio autorizará el acceso al establecimiento donde se encuentren los datos, así como la documentación y a los equipos físicos y lógicos, a los representantes de la Agencia Española de Protección de Datos o de la entidad independiente en quien esta delegue. (Norma Quinta de la Instrucción 1/2000 de 1 de Diciembre de la Agencia Española de Protección de Datos, relativa a las Normas por las que se rigen los Movimientos Internacionales de Datos).

 

3.3. DESCRIPCIÓN DEL TIPO DE INFRAESTRUCTURA

En línea con los puntos anteriores y como elemento para terminar la cuadratura del círculo, es importante a los efectos de catalogación del contrato, objeto y causa, describir el tipo de infraestructura contratada:

 

·       Infraestructura como servicio.

·       Software como servicio.

·       Plataforma como servicio.

·       Proceso de negocio como servicio.

Al igual que con los servicios, dependiendo del tipo de infraestructura, el contrato llevará un determinado tipo de cláusulas, que dejo para una parte más especial de esta saga de apuntes jurídicos sobre Cloud Computing.

3.4. CAPACIDAD DEL SERVICIO

Dependiendo del tipo de infraestructuras, deberá reflejarse los umbrales máximos de capacidad del servicio contratado (registros, instancias de software, numero de usuarios, usuarios concurrentes, ciclos de CPU, ancho de banda, capacidad de almacenamiento, Memoria RAM, transferencia de datos…). El proveedor deberá contar con herramientas de monitorización para medir capacidades y rendimientos a los efectos de certificar la correcta prestación de los servicios contratados.



3.5. GOBERNANZA

Con el fin de garantizar una cooperación fuerte y eficiente entre las partes, en las actividades operacionales, a la par que para que las capacidades de control del cliente no se vean disminuidas como consecuencia de la externalización, se recomienda crear Comités de Gobernanza a través de los cuales se supervise:

 

·       La correcta prestación del servicio y cumplimiento de acuerdos de nivel de servicio.

·       Gestión de cambio.

·       Gestión de riesgos.

·       Gestión y reporte de auditorías

·       Validación y Aprobación de facturas.

·       Etc.

Elemento que juega a favor de las dos partes y minimiza llegar a situaciones de tener que aplicar las penalizaciones, cláusulas penales del contrato y/o la propia resolución del mismo. Todo mediante una correcta comunicación y efectiva gestión entre las dos partes.

3.6. AUDITORÍAS

Se debe establecer la posibilidad de realizar o hacer que se realicen, auditorías por entidades independientes solventes y sometidas a fuertes políticas de autonomía, ética e independencia.

 

Las auditorías podrán ser totales o parciales de los servicios y dependiendo de la gravedad de los hechos significativos o vulnerabilidades detectadas, podrán ser causa de resolución del contrato.

 

3.7. EJECUCIÓN Y CALIDAD DE LOS SERVICIOS

A lo largo de toda la duración del Contrato, el prestador debe comprometerse a garantizar:

 

·       Unos Servicios de calidad, con arreglo a los Acuerdos de Nivel de Servicio.

·       Unas medidas de seguridad, con arreglo a los requerimientos de seguridad de la información expuestos, siendo éstas obligaciones de resultado.

 

3.8. ENTRADA EN VIGOR Y DURACIÓN DEL SERVICIO

Otro de los elementos típicos de un contrato, es la vigencia y duración del mismo. Dependiendo del tipo de servicio, nos podemos encontrar con periodos o plazos de transición.

 

Por otro lado, si la naturaleza del contrato es por obra, la duración del mismo podrá venir por la propia finalización del servicio según los objetivos y alcances acordados.

 

Es importante recalcar el tiempo que el proveedor tardará en devolver los servicios o en su defecto garantizará la destrucción de la información almacenada en sus sistemas de información. Por la importancia de esta materia, siempre es recomendable incorporarlo como una cláusula adicional; reversibilidad.

 

3.9. REVERSIBILIDAD

El Prestador del Servicio debe comprometerse a garantizar la reversibilidad de la externalización de los Servicios con el fin de permitir que el cliente, sin dificultades, reanude o haga que se reanude por parte del cliente o de un tercero proveedor dichos Servicios en las mejores condiciones.

En función de la solicitud la reversibilidad puede ser parcial o total.

Para facilitar esta obligación es bueno recalcar a modo de acuerdo de intenciones, que el prestador utilice o emplee recursos/ elementos/ materiales portables, esto es, que deberán poder ser transferidas a otra ubicación informática sin obligación de adquisición previa de programas de software.

 

3.10. CONFIDENCIALIDAD DEL SERVICIO

Las cláusulas de confidencialidad buscan que los contratantes se obliguen generalmente de manera reciproca a guardar el debido secreto respecto de toda la documentación, conversaciones, modelos de negocio, e información tratada entre las partes previa y durante la ejecución del contrato. Evitemos poner acuerdos de confidencialidad indefinidos ya que el ordenamiento jurídico tiende a castigar con la nulidad a las obligaciones perpetuas.

 

3.11. DISPONIBILIDAD DEL SERVICIO

Siendo un elemento diferenciador de este modelo el acceso sin restricciones, debe estipularse que el servicio estará disponible 24 horas al día, 365 días al año. No obstante como los entornos deberán verse sometidos a procesos de mantenimiento, actualización y mejora, deberá pactarse las franjas horarias sobre las que realizar dichas actividades con el menor impacto posible de cara al cliente.

Este aspecto va vinculado a los acuerdos de nivel de servicio con sus correspondientes penalizaciones, expuesto en el punto siguiente.

3.12. ACUERDOS DE NIVEL DE SERVICIO

Elemento típico de este tipo de contratos. Estipulaciones donde se marcan  los niveles del servicio sobre la base de una serie de parámetros objetivos. Hay tantos tipos de acuerdos de nivel de servicio como especificaciones de servicios. Junto a los mismos se deben concretar los sistemas de penalización por incumplimiento. Se puede ir a dos modelos:
 

·       Cláusulas penales.

·       Daños y perjuicios.

Es tan importante el contenido como el continente, por tanto es vital la definición de los procedimientos, estándares y mecanismos que permitan la correcta evaluación y cumplimiento de manera efectiva y objetiva de los acuerdos de nivel de servicio.

A este respecto hay soluciones en el mercado (SLM Solutions) bajo tecnología BRMS que permite la automatización del cálculo y seguimiento de los Acuerdos de Nivel de Servicio.

3.13. REQUERIMIENTOS LEGALES

Según el tipo de servicio, nos podemos encontrar con distintas casuísticas y elementos a tener en consideración, desde la posibilidad de acceso a los distintos tipos de inspectores (Agencia Tributaria, Agencia Española de Protección de Datos, Banco de España, etc.), pasando por el cumplimiento de requerimientos técnicos en materia de accesibilidad, comunicación, auditoría, como la configuración o preconstitución de todo un conjunto de elementos que permitan acreditar el cumplimiento de algún tipo de requerimiento normativo.

 

A titulo de ejemplo, la Ley de Contratos del Sector Público cataloga los servicios Cloud Computing como contratos de servicios y según el RD 3/2010 de 8 de Enero, por el que se desarrolla el Esquema Nacional de Seguridad, exige todo un conjunto de elementos de seguridad en el marco organizativo, operacional y medidas de protección, sobre los que se sustentan los principios de seguridad integral, gestión de riesgos, revaluación periódica de la seguridad, prevención, reacción y recuperación frente a desastres, líneas de defensa, y la seguridad como función diferenciadora.

 

3.14. PROPIEDAD INTELECTUAL

La protección de la propiedad intelectual del software debe ser un pilar clave, desglosando en su caso:

 

·       Licencias de los paquetes de software aportados por el prestador.

·       Licencias de los paquetes de software aportadas por el prestatario.

Todo ello en su caso, a los efectos de eliminar riesgos legales de uso de software sin licencia y la reversibilidad del servicio.

3.15. SEGURIDAD DE LA INFORMACIÓN

·       Deber de secreto del personal.

·       Autorizaciones y control de acceso.

·       Protección de las instalaciones.

·       Medidas de seguridad por defecto.

·       Integridad y actualizaciones de los sistemas.

·       Procedimientos de gestión de cambios.

·       Protección de la información almacenada y en tránsito.

·       Medidas de prevención ante otros sistema de información interconectados.

·       Registro de incidencias.

·       Registros de actividad.

·       Plan de continuidad de negocio y procedimientos de recuperación frente a desastres.

 

3.16. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Si el Cloud Computing se define como aplicaciones entregadas como servicio a través de Internet, como el hardware y software de los centros de datos que proporcionan dichos servicios, desde el momento que puedan albergar datos de carácter personal, deben recogerse toda una serie de elementos específicos estipulados en el artículo 12 de la Ley 15/99 de 13 de Diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo (RD 1720/07 de 21 de Diciembre).

El dictamen 05/2012 de 1 de Julio de 2012, sobre Computación en la Nube del Grupo de Trabajo del artículo 29, recomienda que previamente a los acuerdos de computación en la nube, se realice una evaluación de riesgos adecuada, incluyendo las ubicaciones de los servidores donde se tratan los datos y la consideración de los riesgos y ventajas desde la perspectiva de la protección de datos

3.17. CESIÓN- SUBCONTRATO

Como estamos frente a servicios que se externalizan sobre la base de la confianza, el prestador se debe comprometer, por una parte a no transferir o ceder, por ninguna causa y bajo ninguna forma, el Contrato o cualquiera de sus derechos y obligaciones a un tercero y, por otra, a no confiar a un tercero la ejecución total o parcial de sus obligaciones contractuales, sin la autorización previa y por escrito del cliente.

 

En el caso de un cambio de control del prestador, éste se debe comprometer a notificar este extremo garantizando sobre su capacidad para respetar los términos y condiciones del Contrato, pudiendo el cliente rescindir el Contrato.

 

En el caso de la subcontratación, se deberá obtener la autorización previa y por escrito del cliente y precisar claramente el nivel de implicación del Subcontratista, su papel y la duración de la intervención del Subcontratista en cada Fase de realización de los Servicios.

 

3.18. RESPONSABILIDADES Y OBLIGACIONES

El prestador debe comprometerse a ejecutar los Servicios con toda la diligencia debida de su sector profesional.

 

El prestador debe asumir toda responsabilidad de las consecuencias que se deriven de sus faltas, errores u omisiones, así como de las faltas, errores u omisiones de sus Subcontratistas.

 

Generalmente se suelen establecer limitaciones a las cuantías de responsabilidad sobre la base de los importes de facturación.

 

3.19. SEGURO

El prestador debe estar asegurado con respecto de su responsabilidad civil general y su responsabilidad civil profesional con una empresa de reconocida solvencia.

 

El Prestador debe comprometerse a mantener esos seguros a lo largo de la duración del Contrato, pero también para cubrir los siniestros que tengan origen en los hechos acaecidos antes del cese del contrato pero conocidos después de la rescisión del mismo, en particular mediante el pago de las primas, y a aportar prueba de ello.



3.20. LEY APLICABLE Y FUERO

En caso de falta de previsión sería de aplicación el Convenio de Roma sobre Ley Aplicable a las Obligaciones Contractuales, de donde resulta que tal ley sería la del país donde se encontrase la sede social del deudor. En el ámbito de la Unión Europea, el Convenio de Roma fue sustituido por el Reglamento (CE) nº 593/2008 del Parlamento Europeo y del Consejo, de 17 de junio de 2008, sobre la ley aplicable a las obligaciones contractuales (Roma I).

 

4. EPÍLOGO

Como diría Aristóteles “los grandes conocimientos engendran las grandes dudas”. Un acto de justicia permite cerrar este primer capítulo. Un acto de venganza escribir un capitulo nuevo, la parte especial, con el deseo de completar estos apuntes, dar la máxima visibilidad a este tipo de contratos tan complejos, y acabar con todas las dudas que se generan alrededor de los contratos sobre Cloud Computing.

 

NOTA DEL EDITOR: Otro artículo sobre cláusulas contractuales en entornos de Cloud Computing puede consultarse en este mismo Blog:


 

5. DERECHOS DE AUTOR

Imágenes bajo licencia 123RF internacional.

 

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.
 

 

Sobre el autor:

 
 

Gonzalo Salas Claver. Abogado en ejercicio del ICAM.

Licenciado en Derecho por la Universidad San Pablo CEU y Master en Derecho de las Telecomunicaciones por la Universidad Pontificia Comillas (ICADE).

Senior Manager del Área de Cumplimiento Normativo de Grupo SIA (www.sia.es) prestando servicios sobre administración electrónica, protección de datos, contratación informática, firma electrónica, defensa jurídica frente a incoación de procedimientos administrativos sancionadores y auditorías sobre protección de datos, Esquema Nacional de Seguridad y seguridad sobre operadores de juego (Entidad homologada por la Dirección General de Ordenación del Juego para la realización de homologación de sistemas técnicos de juego y auditorías de seguridad).

Profesor homologado docente de la EOI (Escuela de Organización Industrial). Miembro del ISMS Forum, Data Privacy Institute y Cloud Security Alliance (CSA-ES). Certificado en CDPP (Certified Data Privacy Professional).

 



2 comentarios:

  1. Hola Gonzalo,
    Te agradecería mucho que me aclararas cómo una Administración Pública podría contratar un servicio cloud que se dimensiona bajo demanda y en el que por tanto se desconoce el importe final. Además de ser un contrato de servicios, ¿qué procedimiento de contratación del RD-Legislativo 3/2011 habría que aplicar? Gracias y un saludo.

    ResponderEliminar
  2. Para mi dentro de la distintas variedades de contratos que recoge la Ley de Contratos, donde mejor cabida tiene es dentro de los Contratos de Servicios (Artículo 10) como servicios de informática y servicios conexos.
    En cuanto a la variedad del importe final dependiendo de distintas variables, pueden recogerse como ampliación o modificación del contrato (Recogido previamente en los pliegos y en el documento contractual)

    ResponderEliminar

Nota: solo los miembros de este blog pueden publicar comentarios.