Algunos apuntes jurídicos sobre los contratos en Cloud Computing

Capitulo Primero. Preámbulo y Parte General

Continuamos con la última parte de este post que comenzamos ayer sobre contrato en Cloud Computing. En esta ocasión presentaremos aquellos elementos básicos que deben recoger estos contratos en Cloud Computing. Los resumimos en un total de 20 puntos, los cuales enumeramos a continuación y desarrollaremos brevemente:

1. Descripción detallada del servicio

Gran importancia tiene la descripción del objeto y causas del contrato como preámbulo de los derechos y obligaciones que posteriormente se expondrán en las clausulas del contrato.

Al mismo tiempo, una buena descripción detallada del servicio, permite una correcta calificación del contrato que constituye una labor insertada dentro de la interpretación del mismo y mostrar el fin jurídico que los contratantes pretenden alcanzar.

Por la naturaleza propia del modelo Cloud Computing, es fundamental a los efectos de estricta seguridad jurídica, mostrar:

- Ubicación del prestador del servicio.
- Localización de los servicios.
- Emplazamiento de las infraestructuras donde vayan a estar desplegadas las maquinas y plataformas.
- Tipo de servicios contratados.

2. Tipo de servicio del cliente, soportados sobre el modelo Cloud

Determinados servicios externalizados sobre este modelo, pueden contar con una especial regulación sectorial, que requiera de determinadas particularidades sobre el contrato y/o el servicio (elementos en materia de seguridad, accesibilidad, monitorización y auditabilidad entre otros) a la par que autorizaciones de ámbito administrativo.

Por tanto, de cara a reflejar las citadas particularidades que llevarán aparejado determinados tipos de obligaciones dentro del contrato, es importante reflejar e inventariar todos los tipos de servicio que vayan a ser soportados, para posteriormente marcar las obligaciones de manera particular y no con carácter general y de esta manera, ganar en la gobernanza del servicio.

Así por ejemplo:

- En el sector bancario, a juicio del Banco de España, considera este tipo de contratos Cloud Computing, como una variedad del contrato de delegación de servicios o funciones, al que se refiere el apartado cuarto de la norma centésima quinta de la Circular 3/08, de 22 de Mayo, sobre determinación y control de los recursos propios mínimos.

Dicha Circular establece que los citados contratos deben cumplir entre otras, las siguientes condiciones:

•Que las capacidades de control interno de las propias entidades no se vean disminuidas como consecuencia de la delegación. El control interno debe extenderse a todos los aspectos de la actividad de las entidades, incluyendo aquellos que son objeto de delegación.
•Que las capacidades de supervisión del Banco de España no se vean menoscabadas como consecuencia de la delegación.

Al mismo tiempo, con carácter previo, se debe comunicar al Servicio de Inspección del Banco de España dicha delegación de servicios informáticos.

- En el ámbito de la facturación electrónica, cuando éstas vayan a estar almacenadas fuera del territorio nacional, se requiere de la correspondiente autorización previa de la Agencia Tributaria (Artículo 22 del RD 1619/2012 de 30 de Noviembre). A la par que se debe garantizar en todo momento el acceso a las mismas y sin demora a la Agencia Tributaria.

- En el ámbito de la protección de datos de carácter personal, aquellos servicios ubicados fuera de aquellos países considerados con un nivel de protección equiparable, requerirá la autorización previa del Director de la Agencia Española de Protección de Datos, a la par que el contrato deberá reunir otra serie de elementos especiales como:

•Que las partes responderán solidariamente frente a los particulares, a la Agencia Española de Protección de Datos y frente a los Órganos Jurisdiccionales Españoles frente a los eventuales incumplimientos del contrato y que sean constitutivos de infracción según la normativa de protección de datos de carácter personal.
•Que el prestador del servicio autorizará el acceso al establecimiento donde se encuentren los datos, así como la documentación y a los equipos físicos y lógicos, a los representantes de la Agencia Española de Protección de Datos o de la entidad independiente en quien esta delegue.

(Norma Quinta de la Instrucción 1/2000 de 1 de Diciembre de la Agencia Española de Protección de Datos, relativa a las Normas por las que se rigen los Movimientos Internacionales de Datos)

3. Descripción del Tipo de infraestructura

En línea con los puntos anteriores y como elemento para terminar la cuadratura del círculo, es importante a los efectos de catalogación del contrato, objeto y causa, describir el tipo de infraestructura contratada:

- Infraestructura como servicio.
- Software como servicio.
- Plataforma como servicio.
- Proceso de negocio como servicio.

Al igual que con los servicios, dependiendo del tipo de infraestructura, el contrato llevará un determinado tipo de cláusulas, que dejo para una parte más especial de esta saga de apuntes jurídicos sobre Cloud Computing.

4. Capacidad del servicio

Dependiendo del tipo de infraestructuras, deberá reflejarse los umbrales máximos de capacidad del servicio contratado (registros, instancias de software, numero de usuarios, usuarios concurrentes, ciclos de CPU, ancho de banda, capacidad de almacenamiento, Memoria RAM, transferencia de datos…). El proveedor deberá contar con herramientas de monitorización para medir capacidades y rendimientos a los efectos de certificar la correcta prestación de los servicios contratados.

5. Gobernanza

Con el fin de garantizar una cooperación fuerte y eficiente entre las partes, en las actividades operacionales, a la par que para que las capacidades de control del cliente no se vean disminuidas como consecuencia de la externalización, se recomienda crear Comités de Gobernanza a través de los cuales se supervise:

- La correcta prestación del servicio y cumplimiento de acuerdos de nivel de servicio.
- Gestión de cambio.
- Gestión de riesgos.
- Gestión y reporte de auditorías
- Validación y Aprobación de facturas.
- Etc.

Elemento que juega a favor de las dos partes y minimiza llegar a situaciones de tener que aplicar las penalizaciones, cláusulas penales del contrato y/o la propia resolución del mismo. Todo mediante una correcta comunicación y efectiva gestión entre las dos partes.

6. Auditorías

Se debe establecer la posibilidad de realizar o hacer que se realicen, auditorías por entidades independientes solventes y sometidas a fuertes políticas de autonomía, ética e independencia.

Las auditorías podrán ser totales o parciales de los servicios y dependiendo de la gravedad de los hechos significativos o vulnerabilidades detectadas, podrán ser causa de resolución del contrato.

7. Ejecución y calidad de los servicios

A lo largo de toda la duración del Contrato, el prestador debe comprometerse a garantizar:

- Unos Servicios de calidad, con arreglo a los Acuerdos de Nivel de Servicio.
- Unas medidas de seguridad, con arreglo a los requerimientos de seguridad de la información expuestos, siendo éstas obligaciones de resultado.

8. Entrada en vigor y duración del servicio

Otro de los elementos típicos de un contrato, es la vigencia y duración del mismo. Dependiendo del tipo de servicio, nos podemos encontrar con periodos o plazos de transición.

Por otro lado, si la naturaleza del contrato es por obra, la duración del mismo podrá venir por la propia finalización del servicio según los objetivos y alcances acordados.

Es importante recalcar el tiempo que el proveedor tardará en devolver los servicios o en su defecto garantizará la destrucción de la información almacenada en sus sistemas de información. Por la importancia de esta materia, siempre es recomendable incorporarlo como una cláusula adicional; reversibilidad.

9. Reversibilidad

El Prestador del Servicio debe comprometerse a garantizar la reversibilidad de la externalización de los Servicios con el fin de permitir que el cliente, sin dificultades, reanude o haga que se reanude por parte del cliente o de un tercero proveedor dichos Servicios en las mejores condiciones.

En función de la solicitud la reversibilidad puede ser parcial o total.

Para facilitar esta obligación es bueno recalcar a modo de acuerdo de intenciones, que el prestador utilice o emplee recursos/ elementos/ materiales portables, esto es, que deberán poder ser transferidas a otra ubicación informática sin obligación de adquisición previa de programas de software.

10. Confidencialidad del servicio

Las cláusulas de confidencialidad buscan que los contratantes se obliguen generalmente de manera reciproca a guardar el debido secreto respecto de toda la documentación, conversaciones, modelos de negocio, e información tratada entre las partes previa y durante la ejecución del contrato. Evitemos poner acuerdos de confidencialidad indefinidos ya que el ordenamiento jurídico tiende a castigar con la nulidad a las obligaciones perpetuas.

11. Disponibilidad del servicio

Siendo un elemento diferenciador de este modelo el acceso sin restricciones, debe estipularse que el servicio estará disponible 24 horas al día, 365 días al año. No obstante como los entornos deberán verse sometidos a procesos de mantenimiento, actualización y mejora, deberá pactarse las franjas horarias sobre las que realizar dichas actividades con el menor impacto posible de cara al cliente.

Este aspecto va vinculado a los acuerdos de nivel de servicio con sus correspondientes penalizaciones, expuesto en el punto siguiente.

12. Acuerdos de nivel de servicio

Elemento típico de este tipo de contratos. Estipulaciones donde se marcan los niveles del servicio sobre la base de una serie de parámetros objetivos. Hay tantos tipos de acuerdos de nivel de servicio como especificaciones de servicios. Junto a los mismos se deben concretar los sistemas de penalización por incumplimiento. Se puede ir a dos modelos:

- Cláusulas penales.
- Daños y perjuicios.

Es tan importante el contenido como el continente, por tanto es vital la definición de los procedimientos, estándares y mecanismos que permitan la correcta evaluación y cumplimiento de manera efectiva y objetiva de los acuerdos de nivel de servicio.

A este respecto hay soluciones en el mercado (SLM Solutions) bajo tecnología BRMS que permite la automatización del cálculo y seguimiento de los Acuerdos de Nivel de Servicio.

13. Requerimientos legales

Según el tipo de servicio, nos podemos encontrar con distintas casuísticas y elementos a tener en consideración, desde la posibilidad de acceso a los distintos tipos de inspectores (Agencia Tributaria, Agencia Española de Protección de Datos, Banco de España, etc), pasando por el cumplimiento de requerimientos técnicos en materia de accesibilidad, comunicación, auditoría, como la configuración o preconstitución de todo un conjunto de elementos que permitan acreditar el cumplimiento de algún tipo de requerimiento normativo.

A titulo de ejemplo, la Ley de Contratos del Sector Público cataloga los servicios Cloud Computing como contratos de servicios y según el RD 3/2010 de 8 de Enero, por el que se desarrolla el Esquema Nacional de Seguridad, exige todo un conjunto de elementos de seguridad en el marco organizativo, operacional y medidas de protección, sobre los que se sustentan los principios de seguridad integral, gestión de riesgos, revaluación periódica de la seguridad, prevención, reacción y recuperación frente a desastres, líneas de defensa, y la seguridad como función diferenciadora.

14. Propiedad intelectual

La protección de la propiedad intelectual del software debe ser un pilar clave, desglosando en su caso:

- Licencias de los paquetes de software aportados por el prestador.
- Licencias de los paquetes de software aportadas por el prestatario.

Todo ello en su caso, a los efectos de eliminar riesgos legales de uso de software sin licencia y la reversibilidad del servicio.

15. Seguridad de la información

a. Deber de secreto del personal.
b. Autorizaciones y control de acceso.
c. Protección de las instalaciones.
d. Medidas de seguridad por defecto.
e. Integridad y actualizaciones de los sistemas.
f. Procedimientos de gestión de cambios.
g. Protección de la información almacenada y en tránsito.
h. Medidas de prevención ante otros sistema de información interconectados.
i. Registro de incidencias.
j. Registros de actividad.
k. Plan de continuidad de negocio y procedimientos de recuperación frente a desastres.

16. Protección de datos de carácter personal

Si el Cloud Computing se define como aplicaciones entregadas como servicio a través de Internet, como el hardware y software de los centros de datos que proporcionan dichos servicios, desde el momento que puedan albergar datos de carácter personal, deben recogerse toda una serie de elementos específicos estipulados en el artículo 12 de la Ley 15/99 de 13 de Diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo (RD 1720/07 de 21 de Diciembre).

El dictamen 05/2012 de 1 de Julio de 2012, sobre Computación en la Nube del Grupo de Trabajo del artículo 29, recomienda que previamente a los acuerdos de computación en la nube, se realice una evaluación de riesgos adecuada, incluyendo las ubicaciones de los servidores donde se tratan los datos y la consideración de los riesgos y ventajas desde la perspectiva de la protección de datos.

17. Cesión-Subcontrato

Como estamos frente a servicios que se externalizan sobre la base de la confianza, el prestador se debe comprometer, por una parte a no transferir o ceder, por ninguna causa y bajo ninguna forma, el Contrato o cualquiera de sus derechos y obligaciones a un tercero y, por otra, a no confiar a un tercero la ejecución total o parcial de sus obligaciones contractuales, sin la autorización previa y por escrito del cliente.

En el caso de un cambio de control del prestador, éste se debe comprometer a notificar este extremo garantizando sobre su capacidad para respetar los términos y condiciones del Contrato, pudiendo el cliente rescindir el Contrato.

En el caso de la subcontratación, se deberá obtener la autorización previa y por escrito del cliente y precisar claramente el nivel de implicación del Subcontratista, su papel y la duración de la intervención del Subcontratista en cada Fase de realización de los Servicios.

18. Responsabilidades y obligaciones

El prestador debe comprometerse a ejecutar los Servicios con toda la diligencia debida de su sector profesional.

El prestador debe asumir toda responsabilidad de las consecuencias que se deriven de sus faltas, errores u omisiones, así como de las faltas, errores u omisiones de sus Subcontratistas.

Generalmente se suelen establecer limitaciones a las cuantías de responsabilidad sobre la base de los importes de facturación.

19. Seguro

El prestador debe estar asegurado con respecto de su responsabilidad civil general y su responsabilidad civil profesional con una empresa de reconocida solvencia.

El Prestador debe comprometerse a mantener esos seguros a lo largo de la duración del Contrato, pero también para cubrir los siniestros que tengan origen en los hechos acaecidos antes del cese del contrato pero conocidos después de la rescisión del mismo, en particular mediante el pago de las primas, y a aportar prueba de ello.

20. Ley Aplicable y Fuero

En caso de falta de previsión sería de aplicación el Convenio de Roma sobre Ley Aplicable a las Obligaciones Contractuales, de donde resulta que tal ley sería la del país donde se encontrase la sede social del deudor. En el ámbito de la Unión Europea, el Convenio de Roma fue sustituido por el Reglamento (CE) nº 593/2008 del Parlamento Europeo y del Consejo, de 17 de junio de 2008, sobre la ley aplicable a las obligaciones contractuales (Roma I)

Como diría Aristóteles “los grandes conocimientos engendran las grandes dudas”. Un acto de justicia permite cerrar este primer capítulo. Un acto de venganza escribir un capitulo nuevo, la parte especial, con el deseo de completar estos apuntes, dar la máxima visibilidad a este tipo de contratos tan complejos, y acabar con todas las dudas que se generan alrededor de los contratos sobre Cloud Computing.

Fuente: Segurity by Default

Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos