CLOUD COMPUTING

CONTRATOS DE SERVICIOS CLOUD

Antes incluso de aceptar los SLA para los servicios que incluyamos en el contrato con el o los proveedores, debemos tener muy claros una serie de puntos antes de firmar el contrato.

Hay determinados aspectos legales clave que pueden impedirnos –no técnicamente, sí legalmente- hacer uso de determinados servicios de un proveedor, bien sea por garantías mínimas que legalmente deben cumplir dependiendo del tipo de servicio – datos, ubicuidad, backup, auditoría…- o bien sea por restricciones propias de nuestro negocio o sector.

La Guía para Clientes que contraten Servicios de “Cloud Computing”, de la Agencia Española de Protección de Datos, es lectura casi obligada antes de firmar ningún contrato de este tipo, y la recomendación es dejar en expertos legales la comprobación de todos los puntos, entre los cuales, los más importantes son:

Portabilidad de la Información

Debemos asegurarnos que toda la información, datos y software propio que montemos en un servicio IaaS, PaaS y SaaS sean portables. Es decir, que el propio servicio nos provea una herramienta para poder descargar o llevar a otro proveedor toda la información propia, en el formato original que nosotros hemos proporcionado en caso de software implantado sobre IaaS o PaaS, y en formatos estándar en caso de tratarse de datos sobre servicios SaaS, Storage, etc.

Localización del proceso y de los datos

El proveedor del servicio debe garantizarnos la ubicación física donde residen los procesos que vayamos a hacer uso, así como la ubicación física de los datos que guardemos o generemos desde sus sistemas o almacenemos en sus sistemas, y si existe tránsito internacional de los mismos fuera del Espacio Económico Europeo (Unión Européa, Islandia, Liechtenstein y Noruega).

Es conveniente pedir un certificado o declaración jurada a este respecto, puesto que, si se tratan de datos de Carácter Personal, es responsabilidad del cliente del servicio el cumplimiento de toda la normativa vigente y de pedir y garantizar las medidas de seguridad y cumplimiento.

Recordemos que en caso de que almacenemos datos de carácter personal en un proveedor cloud, debemos solicitar el permiso a nuestro usuario de cesión de datos, especificando el fin de esta cesión.

Confidencialidad de los Datos

El proveedor del servicio de cloud debe comprometerse a garantizar la confidencialidad utilizando los datos sólo para los servicios contratados. Asimismo, debe comprometerse a dar instrucciones al personal que depende de él para que mantenga la confidencialidad.

Garantía Contractual

La contratación de servicios de cloud computing se realizará a través de un contrato de prestación de servicios.

Resulta imprescindible que ese contrato incorpore entre sus cláusulas las garantías a las que obliga la Ley Orgánica de Protección de Datos.

Atendiendo a la relación contractual establecida entre el cliente y el proveedor de la nube, también este contrato se puede clasificar como negociado o de adhesión. Podemos decir que un contrato entre el cliente y el proveedor es negociado si el primero –el cliente- tiene, o se le ofrece, la capacidad para fijar las condiciones de contratación en función del tipo de datos que se van a procesar, las medidas de seguridad exigibles, el esquema de subcontratación, la localización de los datos, la portabilidad de los mismos y cualquier otro aspecto de adecuación a la regulación española y a las restricciones que esta regulación implica.

Clasificación de contratos:

Negociado:

Capacidad de fijar condiciones de contratación. De adhesión:

Cláusulas contractuales cerradas, con condiciones iguales para todos los clientes del proveedor.

En la mayoría de los casos, sin embargo, lo que se oferta son contratos de adhesión, constituidos por cláusulas contractuales cerradas, en las que el proveedor de cloud fija las condiciones con un contrato tipo igual para todos sus clientes, sin que el usuario tenga ninguna opción para negociar sus términos. Este último caso es el más común, sobre todo cuando se encuentra el cliente en una situación de desequilibrio (p.ej.: una pyme frente a un gran proveedor), aunque hay que tener en cuenta que esto no eximirá, a ninguno de los dos, de las responsabilidades que determina la LOPD.