Contratos de servicios en la nube (LSA): Directrices uniformes en la Comunidad Europea

Por Martín Francisco Elizalde

 

1. Una situación similar en todas partes.

La naturaleza multi jurisdiccional de los contratos de servicios en la nube los vuelven complejos. La normativa que les alcanza, incluso la que regula la protección de los datos que migran a la nube,  depende de las jurisdicciones involucradas.  Pero, más allá de estas complejidades, lo cierto es que cada vez más clientes, desde grandes empresas hasta Pymes y profesionales independientes,  contratan servicios en la nube, por las ventajas técnicas y comerciales que supone esta modalidad .Y aquí es, donde aparece la conexión argentina.

Imaginemos un contrato entre un cliente argentino y un proveer  que almacena sus sistemas en el exterior. Resulta evidente que los requisitos legales aplicables son distintos; además los diferentes servicios en la nube y los modelos que se eligan requieren, también,  diferentes enfoques.  La terminología utilizada por los proveedores para especificar sus prestaciones es frecuentemente distinta, de modo que es bastante difícil para los usuarios compararlas. También lo es para los abogados, a la hora de redactar, o de negociar estos contratos.

Teniendo en cuenta esta situación, en Febrero de 2013, la Comisión Europea convocó a un grupo de expertos, con el objetivo de desarrollar cláusulas y términos uniformes en los contratos de servicios en la nube, para que las empresas y sus abogados  las adopten.

El grupo incluyó a representantes de la industria de servicios en la nube y a los proveedores como Alcatel-Lucent, Google, Salesforce.com, Symantec Corporation, IBM, Microsoft, Telecom Italia, de Arthur Legal, y el Alliance- Cloud Security-  de hecho, más de 100 empresas privadas contribuyeron en el resultado final.

La premisa sobre la que trabajaron fue que la directriz que acogiera sus recomendaciones,  no obstaculizara la innovación y la tecnología, que son el sustrato del negocio  y que  los elementos esenciales del contrato que lo regule, estén redactados en un lenguaje sencillo. La referencia al lenguaje llano es más que bienvenido. En un tema bastante complejo, ser claros significa eficiencia

2. La Directriz

 

El 24 de junio 2014, la Comisión Europea publicó el documento que desarrolla las guías sugeridas para los acuerdos de servicios de computación en la nube como servicio (SLA) entre clientes y proveedores de la Unión Europea. El documento se llama  Cloud Service Level Agreement Standardisation Guidelines -  link: http://europa.eu/rapid/press-release_IP-14-743_en.htm.

Las directrices abordan cuestiones contractuales y legales, incluidas, entre otras, las medidas que deben tomar los proveedores para  garantizar el cumplimiento de las normas de protección de datos de la UE, cuando se encuentre de por medio el tratamiento de datos personales.

La Comisión dijo que pondría a prueba las directrices con usuarios de la nube, en particular las pequeñas empresas, con vistas a su posible inclusión en el futuro dentro de una nueva norma internacional sobre los SLA para la computación en nube.

El documento aborda el tema desde diferentes perspectivas:

- Principios para el desarrollo de Acuerdos de Nivel de Servicio, SLAs.
- Vocabulario  uniforme  para redactar las cláusulas de SLAs,
- Objetivos de nivel general sobre performance del servicio, que se recomiendan en el contrato.
- Seguridad  de la información almacenada:  objetivos del nivel general que son convenientes dejar por escrito en el contrato.
- Objetivos generales en la gestión de datos , y
- Objetivos generales en la protección de de datos de carácter personal.

Algunas de la cuestiones que plantean las directrices son por demás interesantes:

Carácter global de la materia: Internet es un canal de comunicación global y se basa en estándares que son respetadas en todo el mundo. Del mismo modo, los servicios en la nube, tienen una audiencia global de gobiernos,  empresas, organizaciones no gubernamentales e individuos. Los acuerdos que rigen los servicios en la nube, deben dar cuenta de las leyes regionales, nacionales y locales, reglamentos y políticas, pero todo el mundo se beneficia de conceptos comunes a nivel mundial, con  vocabulario y  tecnología accesible a nivel mundial

Claridad y simpleza en las definiciones: Mantener la definición de los objetivos de nivel de servicio comprensibles y sin ambigüedades es importante para asegurar la normalización efectiva de los SLA de nube y permitir la comunicación clara entre los proveedores de servicios en la nube y sus clientes. La evolución hacia términos simples debería acompañar la evolución tecnológica.

Los abogados deben intervenir en el acuerdo: El acuerdo entre el proveedor de servicios cloud y cliente servicio en la nube, puede hacer referencia a la información técnica requerida  para la celebración del SLA,  pero el acuerdo en sí debe cumplir con los requisitos legales y allí es donde deben intervenir abogados calificados

Más vocabulario: las directrices definen a los “datos confidenciales como a cualquiera que está así clasificado, o sea  información personal, privada o confidencial; o datos de cualquier forma,  naturaleza o  estructura, que se pueden crear, cargar, insertar, recoger o derivar de  servicios en la nube . Y cuyo acceso, uso, divulgación o procesamiento esté sujeto a una restricción, ya sea por ley o contrato aplicable.

Proceso de Terminación del servicio: El proceso de terminación tiene lugar cuando un servicio en la nube cliente o un proveedor de servicios cloud, eligen rescindir el acuerdo. El proceso de terminación incluye una serie de pasos que permiten al cliente  recuperar sus datos que estén nube, dentro de un período determinado de tiempo, antes de que el proveedor de servicio en la nube los  elimine.

Ubicación geográfica de los datos de los clientes de servicios en la nube: Cuando los datos personales procesados en la nube  pueden ser transferidos, por ejemplo en el caso de una subcontratación de servicios,  a terceros países, puede ocurrir que las normas de esos países no garanticen un nivel adecuado de protección de datos. Esto también implica que los datos personales pueden ser revelados a una agencia de aplicación de la ley extranjera, con una normativa distinta de la que rige en la UE. Para minimizar estos riesgos, el cliente de servicios de nube debe verificar que el proveedor garantice la legalidad de las transferencias de datos transfronterizos, por ejemplo, mediante la elaboración de dichas transferencias con arreglos de puerto seguro, cláusulas modelo de la CE o de normas corporativas vinculantes, según el caso. Para ello, el cliente de servicios de nube se hizo consciente de la ubicación de los datos tratados en la nube, como se requiere también por los principios de apertura y transparencia mencionados

En definitiva.

Los legisladores de la Unión Europea están claramente tratando de seguir el ritmo de la tecnología. Por cierto, en países como el nuestro,  donde no existe un marco legal especial para este tipo de contrataciones, la iniciativa parece particularmente útil. Mientras tanto, las directrices pueden ser utilizados para la elaboración de acuerdos que incluso reguladas por la legislación interna, pues son esencialmente globales.

 

 

Opinión

Aportes irrevocables a cuenta de futuras suscripciones de acciones y nuevas normas de la IGJ: ¿resurgimiento como opción de financiamiento?
Por Dolores M. Gallo
Barreiro
detrás del traje
Diego Palacio
De PALACIO & ASOCIADOS
Nos apoyan