Читать книгу Cloud Computing. Régimen jurídico para empresarios - Francisca María Rosselló Rubert - Страница 5
Introducción
ОглавлениеVivimos en una era altamente tecnológica, en la que estamos inmersos de forma inevitable, y en la que son pocos (tanto empresarios como particulares) quienes pueden, o quieren, prescindir de Internet. De la evolución de Internet y de su ingeniería técnica nace el Cloud Computing o computación en la nube, el fenómeno mundial que se presenta como recurso de aprovisionamiento tecnológico cada vez más habitual1). Entre otras funcionalidades, el usuario de servicios de nube pública puede acceder a recursos de computación desde cualquier dispositivo con conexión a Internet, y puede almacenar datos, compartirlos, editarlos, organizarlos o coordinarlos con datos de otros usuarios, puesto que se procesan, guardan y copian remotamente en equipos hardware del proveedor. Todo ello de forma económica, cómoda y rápida.
Por ello, en la actualidad, los datos se encuentran cada vez menos en ordenadores y cada vez más en gigantescos centros de procesamiento de datos externalizados, cuya ubicación, como veremos más adelante, suele ser desconocida para el usuario. La transmisión electrónica de información es imparable: la nube (metáfora que evoca la ubicación remota de la información virtual que se transmite a través de una red al hacer uso de estos servicios) se llena de secretos empresariales, de información personal, de actividades administrativas y financieras o de bases de datos que albergan conocimientos multidisciplinares2).
A su vez, los proveedores del sector tecnológico presentan infraestructuras, plataformas, aplicaciones y otros servicios en línea que pretenden impulsar la investigación y la innovación empresarial con soluciones que se amoldan a los requerimientos de los diferentes sectores y a la envergadura y productividad de cada organización. El diseño de aplicaciones que se despliegan en dispositivos móviles permite realizar tareas prácticamente desde cualquier lugar e impulsa la productividad de sus clientes empresarios. Los proveedores compiten por lanzar herramientas cada vez más inteligentes y pueden personalizar sus productos y servicios en atención a un sector empresarial específico, o por el contrario, comercializarlos de forma masificada y con alta escalabilidad para todo tipo de público3).
La computación en la nube se caracteriza por prestarse a modo de autoservicio, gracias a una aplicación de manejo sencillo que permite ajustar el volumen de recursos suministrado a la demanda concreta del cliente (elasticidad). La red de comunicaciones (en muchos casos, Internet) se configura como la vía de transmisión de recursos e información, utilizando el proveedor el mismo hardware para facilitar tales recursos a múltiples usuarios a la vez. El proveedor mide el uso y distribución de estos recursos entre los distintos suscriptores a través de monitorizaciones, con distintos propósitos: determinar la contraprestación por el servicio de acuerdo con los recursos consumidos por cada cliente, controlar que el uso del servicio sea acorde con lo contratado y que no se produzcan abusos o usos indebidos, o realizar informes y estadísticas para evaluar otros aspectos del servicio (como el rendimiento, los perfiles de la demanda, el análisis de errores o fallos, etc.).
Con estas mismas características, el suscriptor puede elegir entre cuatro diferentes modelos de implementación de sistemas de computación en la nube en su empresa y entre tres tipos de modelo de negocio. Así, como modelos de implementación, tenemos por una parte las nubes privada y comunitaria, que suelen suscribirse por unos pocos clientes en exclusiva, y por otra, la nube pública, en la cual se centra este trabajo, cuya oferta contractual se presenta para el público en general. La nube híbrida, como su propio nombre indica, integra características de la nube privada y la nube pública. En cuanto a los modelos de negocio, estos se configuran atendiendo al tipo de recursos contratados. Si se trata de recursos de hardware o red virtual, hablaremos de infraestructura como servicio (IaaS). Si se trata de herramientas y entornos para el desarrollo, la prueba y la gestión de programas informáticos, hablaremos de servicios de plataforma (PaaS). Si lo que se facilita al cliente es una aplicación informática con diferentes funcionalidades, nos referiremos al software como servicio (SaaS). Nuestro trabajo, como se verá más adelante, se centra especialmente en el modelo de implementación de nube pública.
La relevancia económica y social de la computación en la nube ha provocado que la Comisión Europea se involucre en impulsar esta tecnología. La Comunicación de la Comisión Europea titulada Unleashing the Potential of «Cloud Computing» in Europe prevé que en el año 2020, se creen gracias al Cloud Computing 2,5 millones de puestos de trabajo en Europa y unos beneficios de 160 billones de euros, lo que implicaría un aumento del producto interior bruto de un 1%4). Por ello, la propia Comisión creó el Grupo de Expertos en Cloud Computing, con tres finalidades: conseguir unas condiciones contractuales «seguras y justas»; establecer estándares que permitan la interoperabilidad, portabilidad de datos y reversibilidad; y desarrollar el European Cloud Partnership, un organismo de colaboración en materia de Cloud Computing que integre a la industria y al sector público. Si bien se han conseguido diferentes resultados gracias a los trabajos dedicados a la computación en la nube, sobre todo en materia de estandarización tecnológica y privacidad, a nuestro parecer quedan todavía materias por tratar, especialmente en ciertas cuestiones relacionadas con la contratación online de servicios de software, tales como la distribución equitativa de responsabilidades, la propiedad de los datos, el control y uso de los contenidos del cliente por parte del proveedor, la revelación de datos migrados de carácter no personal o la modificación unilateral de contenidos contractuales5). A nuestro parecer, y como exponemos más adelante, deberían recogerse algunas de las prácticas habituales en el mercado de servicios de Cloud Computing sobre estas materias como susceptibles de considerarse abusivas y de crear situaciones de falta de equidad, especialmente cuando tienen lugar en relaciones jurídicas entre proveedores cloud y suscriptores de estos servicios que sean pequeños empresarios y consumidores.
En el ámbito internacional, cabe destacar la tarea que está llevando a cabo el Grupo de Trabajo IV, dedicado al comercio electrónico, de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI), que prepara un texto sobre los aspectos contractuales de la computación en la nube, atendiendo a la propuesta del Gobierno de Canadá titulada «Posible labor futura en materia de comercio electrónico: cuestiones jurídicas que afectan a la computación en la nube». La finalidad de este texto será «ayudar a las partes contratantes a determinar los obstáculos, las limitaciones y otras dificultades que pueden presentarse en la negociación o la ejecución de contratos de servicios de nube», con lo cual «se formulan recomendaciones con el fin de sugerir formas posibles de resolver determinadas cuestiones que pueden plantearse en relación con esos contratos». Respecto de las cuestiones que pretenden abordarse, se recogen, entre otras, aspectos sobre la autenticación de usuarios, la descripción de los servicios y los parámetros de calidad, la distribución de riesgos, cuestiones de propiedad intelectual, exenciones y limitaciones de responsabilidad, o modificación del contrato. De momento, parece que el texto resultante revestiría la forma de texto de orientación, sin carácter legislativo, cuyos beneficiarios sean los contratantes con menor poder de negociación, en el que se efectúe una distinción, por una parte, de las cuestiones propias de todos los contratos de computación en la nube, independientemente del tipo de implementación (privada, comunitaria, pública o híbrida) y del modelo de negocio (infraestructura, plataforma o software)y, por otra, de las cuestiones propias de cada tipo de contrato6).
Por otra parte, el Cloud Computingtambién ha sido objeto de distintos trabajos por parte de organismos dedicados a la protección de datos de carácter personal, tanto a nivel europeo como nacional, como el Grupo de Trabajo del Artículo 29 o la Agencia Española de Protección de Datos7), así como de organismos especializados en la seguridad de la información, como el Instituto Nacional de Ciberseguridad INCIBE (antes INTECO)8).
A la vista de estos antecedentes, esta investigación se centra en la contratación de servicios de computación en la nube en su modalidad de implementación pública, por parte de pequeñas y medianas empresas (es decir, en su forma de contratación mercantil), en línea y a través de cláusulas de adhesión. Ello es así, en primer lugar, porque la opción más habitual entre profesionales y pequeños y medianos empresarios es la contratación de la modalidad pública de nube, debido a su bajo coste y facilidad de implementación en la operativa empresarial, y a que consume escasos recursos del sistema propio, quedando en manos del proveedor la adquisición y el mantenimiento del hardware y del resto de sistemas que sustentan los recursos suministrados a través de Internet.
Dentro de la nube pública, la modalidad de software como servicio (SaaS) resulta la más popular y extendida, al presentar una gran diversidad de funcionalidades a modo de aplicación informática y viéndose el suscriptor liberado de realizar actualizaciones. Su uso, pensado para el público en general y la comercialización en masa, resulta sencillo y no suele precisar de amplios conocimientos informáticos. El precio suele resultar otro de los factores claves del éxito de muchos servicios de software en la nube, siendo muy reducido, e incluso, en ocasiones, substituido por otro tipo de contraprestación, no dineraria, como la cesión de derechos o de información de carácter personal, o el consentimiento a recibir publicidad no solicitada.
Asimismo, para aquel empresario cuyas actividades sociales están directamente relacionadas con las tecnologías de la información, como sucede con las start-ups, los servicios de infraestructura y plataforma implementados en la nube pública son otra opción rápida, flexible y económica para acceder a recursos virtualizados y a soluciones para el desarrollo de software.
En segundo lugar, debe puntualizarse que la contratación de la computación en nube presenta notables diferencias según el tipo de cliente. Concretamente, el objeto de este trabajo se centra en los microempresarios (de 0 a 9 empleados), pequeños (de 10 a 49 empleados) y medianos empresarios (de 50 a 249 empleados) que han suscrito o prevén suscribir este tipo de servicios para incorporarlos en su operativa empresarial. A todos ellos nos referiremos, en este trabajo, con el término «pequeño empresario»9). Hemos decidido poner el punto de mira en el pequeño empresario suscriptor de servicios de computación en la nube por encontrarse, a nuestro parecer, desprotegido ante condiciones generales que pueden propiciar abusos. Ello es así, por una parte, porque no se le concede la protección de la normativa de protección a los consumidores, precisamente porque las prestaciones del contrato cloud se integran dentro de sus actividades comerciales y empresariales, porque carece de la suficiente fuerza contractual que le permita negociar con el proveedor en igualdad de condiciones y porque contratará, prácticamente siempre, en sede electrónica, suscribiendo las condiciones generales predispuestas por el proveedor. Por contraposición, las grandes empresas que contratan servicios de computación en la nube, cuyo suministro implica para el proveedor mayores ingresos y también mayor esfuerzo técnico (por ejemplo, la implementación de nubes privadas, comunitarias o híbridas), se encuentran en condiciones no solo de personalizar el servicio que se les suministra o de contratar modelos de implementación más exclusivos (como la nube privada o comunitaria), sino también de conseguir condiciones contractuales más favorables cuando contraten servicios de computación en la nube pública. Por ello, si bien algunas de las cuestiones aquí tratadas pueden igualmente serles extensibles, hemos decidido centrarnos en la problemática de aquel pequeño empresario que suscribe servicios de computación en la nube pública a través de condiciones generales.
Con este trabajo se persiguen distintos objetivos. Tras una primera aproximación a las características técnicas de la computación en la nube en general, a su definición y a las principales ventajas y riesgos que supone su adopción, se procederá a la determinación de la naturaleza jurídica correspondiente con la generalidad de los contratos cloud de nube pública. A continuación, se analizarán distintas cuestiones relacionadas con las partes del contrato y con terceros que puedan estar relacionados con esa relación contractual.
Posteriormente, se procederá a dar un tratamiento uniforme a los contenidos más comunes de los contratos cloud no negociados, los cuales se han sistematizado en distintos capítulos, en relación a las materias jurídicas a las cuales se refieren. Así se dedicará un capítulo a estudiar los principales aspectos jurídicos relacionados con los contenidos alojados en los sistemas remotos del proveedor, como son las responsabilidades de las partes contractuales por tales contenidos (por ejemplo, por su licitud o por el uso que se realice de estos contenidos y del servicio en general), o los aspectos relacionados con la protección que se deriva de la legislación en materia de propiedad intelectual e industrial y del secreto comercial.
A continuación, se procede al estudio detallado de las diferentes obligaciones exigibles a las partes dentro de esta relación contractual, poniendo especial énfasis en aquellas que corresponden al proveedor como prestador de servicios. Así, por una parte, se procederá al estudio de aquellos compromisos relacionados con la disponibilidad del servicio, con el grado de control del proveedor sobre los recursos suministrados al cliente y con la preservación de la integridad y confidencialidad de los datos migrados. En el mismo capítulo, nos detendremos en las responsabilidades que puedan derivarse del cumplimiento deficiente de las anteriores obligaciones, de eventuales limitaciones o exenciones de responsabilidad contractualmente estipuladas y de posibles restricciones al resarcimiento del suscriptor. Dado que algunas de estas cláusulas pueden ser, a nuestro parecer, susceptibles de considerarse abusivas cuando el contrato de computación en la nube es suscrito por un consumidor, dedicamos un apartado a la posibilidad de la aplicación extensiva de la normativa de protección al consumidor en aquellos casos en los cuales la situación del pequeño empresario pueda asimilarse a la de aquel. Por otra parte, no nos olvidamos de las obligaciones correspondientes al cliente cloud, que no se restringen únicamente al pago de una contraprestación (dineraria o no) por el servicio, sino que comprenden, a nuestro parecer, otros compromisos respecto del uso del servicio.
Durante el transcurso de la relación contractual cloud pueden tener lugar incidencias relacionadas con la modificación de aspectos relacionados con la prestación o de las cláusulas contractuales suscritas; asimismo, pueden producirse interrupciones o suspensiones del suministro de recursos al cliente. Todo ello por decisión unilateral del proveedor, ante la cual el pequeño empresario puede ver limitada su capacidad de reacción u oposición. Una vez se extinga el contrato cloud(cuyas causas y efectos también analizaremos), subsisten obligaciones del proveedor relacionadas con la recuperación de los contenidos migrados por el cliente, su portabilidad y la conservación o desaparición de réplicas de esos datos que puedan quedar remanentes en servidores y centros de datos remotos. Las cuestiones jurídicas relacionadas con lo anterior (es decir, con la modificación, la suspensión, la extinción del contrato y el destino de los datos migrados) serán objeto del último capítulo de este trabajo.
La Fundación del Español Urgente (Fundéu BBVA) recomienda emplear el término «computación en la nube», y no Cloud Computing, en informaciones sobre tecnología, de acuerdo con la Ortografía de la Lengua Española,donde se considera desestabilizador el uso de extranjerismos innecesarios. Fundéu BBVA es una institución que impulsa el buen uso del español en los medios de comunicación, formada por periodistas, lingüistas y lexicógrafos, y está asesorada por la Real Academia de la Lengua. La Real Academia de la Lengua (RAE), por su parte, ha recogido una nueva acepción del término «nube» en su Diccionario: «Espacio de almacenamiento y procesamiento de datos y archivos ubicado en Internet, al que puede acceder el usuario desde cualquier dispositivo». Sin embargo, la RAE no recoge la expresión «computación en la nube», ni se ha pronunciado tampoco sobre la corrección de su uso. En el primer capítulo de este trabajo se analizará detalladamente del concepto técnico y jurídico de la computación en la nube. Sin embargo, y con el fin de evitar la continuada repetición de una única expresión, nos referiremos indistintamente a la tecnología de computación en la nube a través de diferentes expresiones, entre las que se encuentran, además de las anteriores: «la nube», «servicios en la nube», o «computación remota». Igualmente, y en favor de la simplificación, mayor agilidad en la lectura y mejor entendimiento, utilizaremos en ocasiones la palabra «cloud» como adjetivo referente a esta tecnología y que describirá, por ejemplo, al proveedor, cliente o contrato de servicios de computación en la nube.
En realidad, esta información se aloja en servidores físicos que integran los diferentes centros de datos pertenecientes a prestadores de servicios de computación en la nube. GARCÍA SÁNCHEZ, Manuel, «Retos de la computación en la nube», Derecho y Cloud Computing (Coord. Ricard Martínez), 1.ª edición, Navarra, 2012, págs. 39 a 40.
«Escalabilidad». Habilidad de un sistema o proceso para reaccionar y adaptarse a variaciones en la demanda por parte de los clientes de los servicios suministrados. (Definición propia).
Así se declara en su Comunicación Unleashing the Potential of Cloud Computing in EuropeCOM (2012) 529 final, de 27 de septiembre de 2012. Disponible en: <http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0529:FIN:EN:PDF>. Para más información, ver también el sitio web oficial de laEuropean Cloud Computing Strategyde la Comisión Europea, disponible en: <https://ec.europa.eu/digital-single-market/en/european-cloud-computing-strategy>. [Fecha de consulta: 3 de abril de 2017].
El Grupo de Expertos en contratos de Cloud Computing se creó mediante la Decisión de 18 de junio de 2013 2013/C 174/04. Disponible en: <http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:174:0006:0008:EN:PDF>. Dentro de este grupo de expertos se crearon diferentes subgrupos, siendo uno de ellos el Cloud Select Industry Group on Code of Conduct, encargado de elaborar un código de conducta a seguir por los proveedores del sector Cloud a modo de buenas prácticas. Si bien las diferentes materias mencionadas (responsabilidad, modificación unilateral de cláusulas, uso de los datos del cliente por parte del proveedor, etc.) y se han redactado informes para su debate por el propio Grupo de Expertos, lo cierto es que la redacción de un código de buenas prácticas que trate tales aspectos no se ha llevado a cabo por el momento. Dichos informes están disponibles en el siguiente enlace: <http://ec.europa.eu/justice/contract/cloud-computing/expert-group/index_en.htm>. Sí se ha desarrollado por el Grupo de Expertos, en cambio, un código de conducta modelo respecto de cuestiones contractuales relacionadas con la privacidad, revisado por el Grupo de Trabajo del Artículo 29, y que actualmente se encuentra pendiente de tramitación. Más información sobre este código de conducta en privacidad para proveedores cloud disponible en: <https://ec.europa.eu/digital-single-market/en/news/data-protection-code-conduct-cloud-service-providers>. Si bien a lo largo de este trabajo se referenciarán algunos informes del Grupo de Expertos de la Cloud Computing Strategy, nos remitimos asimismo para información sobre la European «Cloud Computing» Strategy a su sitio web oficial, disponible en: <https://ec.europa.eu/digital-single-market/en/european-cloud-computing-strategy>. [Fecha de consulta: 3 de abril de 2017].
El Grupo de Trabajo IV de la CNUDMI sobre comercio electrónico, en su 55 sesión, que tuvo lugar en Nueva York del 24 a 28 de abril de 2017, debatió sobre los aspectos contractuales de la computación en la nube. Las cuestiones comentadas se hallan recogidas en la Nota de la Secretaria A/CN.9/WG.IV/WP.142 [en línea], págs. 5, 9 y 15. Se encuentra disponible en: <http://www.uncitral.org/uncitral/es/commission/working_groups/4Electronic_Commerce.html>. [Fecha de consulta: 30 de mayo de 2017].
Entre otros trabajos, cabe destacar el Dictamen 5/2012 sobre Cloud Computing, del Grupo de Trabajo del Artículo 29 (WP 196). Por parte de la Agencia Española de Protección de Datos, es relevante, entre otros documentos, la Guía para clientes que contraten servicios de Cloud Computing 2013. Disponibles en línea respectivamente en: <http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf> y <http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf>. [Fecha de consulta: 3 de abril de 2017].
INTECO, Riesgos y Amenazas en Cloud Computing[en línea], 2011. Disponible en <http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_riesgos_y_amenazas_en_cloud_computing.pdf>. [Fecha de consulta: 3 de abril de 2017]
Se ha tomado como referencia para la realización de este trabajo, respecto del número de empleados que permiten identificar a una empresa como microempresa, pequeña o mediana empresa, la clasificación realizada por el Directorio General de Empresas (DIRCE) del Instituto Nacional de Estadística (INE).
