Cloud Computing: el contrato; ¿David vencerá a Goliat?
- Lorena P. Campillo
Partimos de la idea de que cada cliente cloud tiene un negocio determinado y unas necesidades, pero las preocupaciones vienen a ser las mismas para todos. Los clientes necesitan mantener el control, la transparencia y el cumplimiento. El desequilibrio del poder contractual del "pequeño" cliente cloud es el mayor problema, teniendo en cuenta que las pymes alcanzan el 95,5% de las empresas en el mundo.
El responsable y cliente cloud al final es el que “pringa” y responde por las irresponsabilidades de su proveedor (por mucho que haya sentencias que reconozcan la misma responsabilidad que el encargado).
Es por ello que desde instituciones internacionales de cloud como desde el Grupo de Trabajo del Articulo 29 (U.E.) se han preocupado por la parte más débil y han definido líneas de actuación y recomendaciones, al margen del nuevo escenario europeo en materia de protección de datos.
Dicho esto, ¿qué ventajas ofrece cloud? En líneas generales podemos decir que Cloud es barato, eficiente, móvil, ágil, rápido, fiable e innovador. Pero ojo, también nos enfrentamos a inconvenientes. Aparte de los problemas técnicos relacionados con la clásica inseguridad de la información también aparecerán otros bastante delicados como:
- La falta de transparencia en la gestión del proveedor de servicios. Sin información por parte de las operaciones de procesamiento se plantea un serio riesgo tanto para los clientes cloud como para los usuarios finales. Pensemos en los múltiples procesadores y subcontratistas de tratamiento de datos. Muchos de ellos se procesan fueran de las fronteras de la UE y por terceros.
- La dificultad en la portabilidad de datos e interoperabilidad. La dificultad de un cliente para desplazar e intercambiar sus datos y documentos con entidades que utilicen servicios en la nube por distintos proveedores. Veremos cómo queda la situación cuando entre en vigor el nuevo Reglamento Europeo de Protección de Datos.
- Los posibles conflictos de intereses ya que los proveedores procesan datos provenientes de diferentes fuentes (Por ejemplo, clientes cloud competidores con mismo proveedor cloud)
- Los proveedores no siempre proporcionan a los usuarios finales las herramientas necesarias al de tratamiento en la gestión de los datos (acceso, destrucción o corrección de los mismos).
CSA (Cloud Security Alliance) considera 10 elementos indispensables a la hora de establecer el contrato entre proveedor y cliente:
- SLA. Es una parte fundamental de cloud y recoge de alguna manera las expectativas del cliente en cuanto lo que espera del servicio, tanto si es negociado como si no.
- Cláusula contractual de privacidad y protección de datos. Tiene su lógica ya que sus activos intangibles son la información.
- Clausula de mecanismos de resolución de conflictos. El arbitraje se presenta como una opción viable, alternativa y necesaria.
- Clausula Ley aplicable y jurisdicción. La globalidad en la red y compartición de información no conoce de fronteras. En la práctica, la parte contractual “más fuerte” es la que impone el fuero que más le beneficia. Lo normal es que la jurisdicción y la ley aplicable sea la misma (no tendría sentido lo contrario).
- Cláusula de confidencialidad. Lo ideal es que “información confidencial” sea un concepto muy amplio y englobe todo lo posible como información del cliente, de sus empresas, programas, su procedimiento de desarrollo, su know-how... También se deberá prever una clausula donde se indemnice al cliente por los daños causados y el acceso limitado de la información por parte de los empleados.
- Clausula de Propiedad intelectual. Se deberá fijar que tanto el acceso al contenido generado por el cliente por parte del proveedor, como la reproducción, copia, modificación, comunicación pública, distribución y cualquier cesión suponen infracciones de la propiedad intelectual al cliente. En ningún caso, el acuerdo podrá implicar cesión de ningún derecho de PI a favor del proveedor (Google Cloud Plataform, por el contrario, establece que el Software y los servicios de PI son de Google, no del cliente)
- Clausula de Responsabilidad. El proveedor ha de hacerse responsable frente al cliente de cualesquier daño o perjuicios o de cualquier reclamación que pudiera surgir o que traiga causa en la suscripción del contrato. (Ej. Amazon se exime de cualquier daño directo o indirecto incluso de las suspensiones de servicio)
- Cláusula de Resolución anticipada. Se aconseja que se contemple contractualmente la posibilidad de resolución anticipada “sin causa” y sin penalización para el cliente.
- Cláusula de Auditabilidad. Como punto de partida reconocemos lo dificultoso que, para el proveedor, el ser auditado por el propio cliente, o incluso, ser auditado por terceros independientes (con vínculos con la competencia). (Ej. Microsoft no lo considera viable por el coste y por la escalabilidad. Es obvio que será necesario dar con las ubicaciones del proveedor (data center) al igual que extender la auditoría a los subcontratistas.
- Clausula de Seguridad. Puede ser recomendable un análisis de riesgos previo como punto de partida a la contratación, así de esta manera se determinará cuales son y qué estrategia se podrá tomar. No hay que olvidar que cada empresa tiene un nivel de vulnerabilidad diferente.
Además, subrayando lo anterior, el GT29 recomienda las 14 siguientes garantías contractuales o compromiso asumido por el proveedor cloud.
Bien, vistas las recomendaciones habidas y por haber, cabe preguntarnos ¿el cliente PYME podrá y será capaz de igualar su poder decisión contractual al de proveedores gigantes de la talla de Microsoft o Amazon? La respuesta la podemos intuir. La naturaleza de Cloud va a conllevar la creación inevitable de nuevos riesgos y será, por tanto, necesaria, la creación de estrategias REGULATORIAS. Al inicio los denominamos “inconvenientes/problemas” pero al final, les acabaremos llamando “riesgos por mitigar”.
En los próximos artículos analizaremos posibles soluciones que pueden interesaros, que ya adelantamos, su genética preventiva y proactiva. Hablaremos de cómo mitigar los riesgos, de compliance, de responsabilidad social y homologación ante proveedores cloud.
Lorena P. Campillo. Abogada especialista en Derecho de las Nuevas Tecnologías