CLOUD COMPUTING: ASPECTOS

LEGALES Y/O NORMATIVOS

Luis Vinatea Recoba
Socio de Miranda & Amado Abogados
Profesor de la Pontificia Universidad Catlica del
Per

Cloud Computing
Definicin

Sistema que permite el acceso por red bajo demanda a un conjunto

compartido de recursos informticos configurables (redes, servidores,
almacenamiento, aplicaciones y servicios) que pueden proporcionarse y
servirse rpidamente con un esfuerzo mnimo de gestin o interaccin por
parte del proveedor del servicio (definicin del US National Institute of
Standards and Technology).

Cloud Computing
Tipos de Nube

Nubes pblicas: Gestionadas por terceras personas ajenas al Cliente.

Accesibles para todo tipo de Clientes y Usuarios.

Nubes privadas: Puede ser gestionada por el mismo Cliente o por un

tercero. El acceso es restringido al Cliente y a quines este designe. Es
utilizada por las organizaciones que desean tener mayor control sobre su
informacin.

Nubes hbridas: Combinan los dos tipos anteriores. El Cliente es

propietario de una parte de la nube y comparte otra. Es necesario
determinar la distribucin de las aplicaciones.

Cloud Computing
Participantes

Proveedor: Persona fsica o jurdica que presta el servicio en un sistema

de computacin en nube.

Cliente: Persona fsica o jurdica que suscribe un contrato con el

Proveedor de servicios de computacin en nube.

Usuario (final): Persona fsica que usa realmente los servicios de

computacin en nube en un contexto especfico. Puede coincidir o no con
el Cliente.

Cloud Computing
Funcionalidad

Acceso a travs de Internet.

Pago por consumo.
Escalabilidad.
Puede ser utilizado por varios Usuarios a la vez (Multitenancy).
Deslocalizacin.

Cloud Computing
Modelos de prestacin de servicios

Infraestructura como Servicio (IaaS, por sus siglas en ingls): Permite

que el Cliente ejecute cualquier software, sistema operativo y equipos
incluidos en los equipos del Proveedor.

Plataforma como Servicio (PaaS, por sus siglas en ingls): El

Proveedor ofrece una plataforma para que el Cliente pueda desarrollar sus
propias aplicaciones o servicios.

Software como servicio (SaaS, por sus siglas en ingles): El Cliente y/o
el Usuario usan una aplicacin proporcionada por el Proveedor.

Cloud Computing
Implicancias Legales y/o Normativas
1. Prestaciones involucradas
Proveedor

Provee acceso a, provee la plataforma o

gestiona los recursos informticos
objeto del servicio (propios, del cliente
o de terceros)
Conserva la informacin proporcionada
por el Cliente en virtud del servicio
contratado

Cliente

Paga por el servicio

Cloud Computing
Implicancias Legales y/o Normativas
2. Naturaleza jurdica
Cloud Computing no es un servicio de telecomunicaciones regulado.

El Proveedor y el Cliente establecen una relacin jurdica de tipo civil.

Las partes deben regular dicha relacin jurdica mediante la suscripcin

de un contrato privado.

Cloud Computing
Implicancias Legales y/o Normativas
3. El Contrato
Contratos por adhesin
Para servicios Cloud Computing estandarizados.
El Cliente acepta o rechaza ntegramente las condiciones del
servicio fijadas por el Proveedor.

Contratos negociados
Cuando el Cliente necesita servicios Cloud Computing
personalizados, adecuados a sus necesidades particulares.
El Cliente y el Proveedor fijan conjuntamente las condiciones
de la prestacin del servicio.

Cloud Computing
Implicancias Legales y/o Normativas

El Contrato debe prever todas las condiciones de la prestacin del servicio

Cloud Computing:
a) Modelo de servicio contratado;
b) Precio del servicio;
c) Deber del Proveedor de guardar confidencialidad respecto de la
informacin entregada;
d) Responsabilidad del Proveedor sobre la informacin entregada por el
Cliente (prdidas, intromisiones, deterioro, etc.);
e) Periodo de tiempo en el cual se prestar el servicio;
f) Qu hacer con la informacin entregada al culminar la relacin.

Cloud Computing
Implicancias Legales y/o Normativas

Clusulas recomendadas:
a) Servicios objeto de prestacin por parte del Proveedor;
b) Autorizacin del Proveedor para el uso del servicio;
c) Consentimiento del Cliente para que el servicio sea prestado por terceros
subcontratados por el Proveedor (de ser el caso);
d) Cesin de posicin contractual (de ambas partes);
e) Responsabilidades respecto de la gestin de la informacin alojada en la
Nube;
f) Prohibicin del Cliente y/o Usuarios de alterar el servicio prestado;
g) Posibilidad o no de revender o sublicenciar el servicio;
h) Trminos de cumplimiento de las prestaciones;

Cloud Computing
Implicancias Legales y/o Normativas
i) Facultad del Cliente de monitorear el funcionamiento del servicio
(medidas de seguridad, controles y polticas dirigidas a garantizar la
integridad de la informacin, etc.);
j) SLA (Service Level Agreement);
k) Mecanismos de compensacin ante incumplimientos del SLA
(penalizacin, crditos, abonos de servicio, etc.);
l) Causales de suspensin del servicio (uso indebido, falta de pago,
emergencias en materia de seguridad, interrupciones programadas,
etc.);
m) Condiciones de la suspensin y del levantamiento de la suspensin;
n) Causales de resolucin / Consecuencias de la resolucin del Contrato.

Cloud Computing
Implicancias Legales y/o Normativas
4. Proteccin de Datos Personales
El servicio Cloud Computing puede implicar el tratamiento (recopilacin,
registro, almacenamiento, comunicacin por transferencia o por difusin,
conservacin, etc.) de datos personales.

Pese a la naturaleza civil de la relacin contractual, las partes debern

observar la Ley 29733, Ley de Proteccin de Datos Personales, que regula
el adecuado tratamiento de datos personales incluidos en bases de datos.
*

Solo algunas partes de la Ley estn vigentes (seccin Tratamiento de Datos Personales), la
vigencia total est condicionada a la emisin del Reglamento.

Cloud Computing
Implicancias Legales y/o Normativas

A efectos del tratamiento, el Titular del Banco de Datos (el Cliente)

requiere obtener el consentimiento del Titular de los Datos Personales
(personas cuyos datos personales forman parte de la informacin
entregada al Proveedor).

El tratamiento de los datos personales puede ser encargado a un tercero

denominado el Encargado del Banco de Datos Personales (en el caso del
Cloud Computing, el Proveedor).

El Titular del Banco de Datos el Cliente-, debe verificar que el Encargado

del Banco de Datos el Proveedor- cumpla las obligaciones normativas
sobre tratamiento de datos personales.

Cloud Computing
Implicancias Legales y/o Normativas

La prestacin del servicio Cloud Computing podra implicar que los datos
personales sean mantenidos en servidores ubicados en el extranjero.

Conforme a la Ley de Proteccin de Datos Personales (Artculo 15), la

transferencia internacional de datos personales est permitida solo si el
pas destinatario de los mismos (donde estn ubicados los servidores)
mantiene niveles de proteccin adecuados, similares a los previstos en
dicha norma.

Lo sealado anteriormente no se aplica cuando el Titular de los Datos

Personales haya otorgado su consentimiento previo, expreso e informado,
para la transferencia internacional de su informacin personal.

Cloud Computing
Implicancias Legales y/o Normativas
5. Propiedad Intelectual
El Contrato deber contener previsiones sobre derechos de propiedad
intelectual del Proveedor respecto de las aplicaciones creadas y puestas a
disposicin del Cliente.

En el caso de los modelos Plataforma como Servicio (PaaS) e

Infraestructura como Servicio (IaaS), el Contrato deber incluir proteccin
a los derechos de propiedad intelectual de las aplicaciones creadas por el
Cliente.

Cloud Computing
Implicancias Legales y/o Normativas
6. Seguridad de la Informacin
El Cliente pierde el control de la Informacin alojada en la Nube.

El Contrato debera incluir la obligacin del Proveedor de resguardar la

informacin entregada. Adems, debera incluir el detalle de las medidas
de seguridad adoptadas por el Proveedor, y la ubicacin de los servidores
en los que estar alojada la informacin del Cliente.

El Contrato tambin debera incluir los supuestos de responsabilidad por la

prdida o deterioro de la informacin del Cliente, por causas atribuibles al
Proveedor.

Cloud Computing
Implicancias Legales y/o Normativas
7. Asuntos de implicancia laboral
Dado que la gestin de los sistemas est a cargo de un tercero, el
cumplimiento del deber de vigilancia de las actividades de los empleados
del Cliente se ve limitada.

El Cliente deber elaborar un protocolo de uso de las herramientas

informticas, dirigido a sus trabajadores (carctersticas del sistema,
gestin de nombre de usuario y contrasea, obligacin de guardar secreto
de la informacin proporcionada, etc.).

Cloud Computing
Implicancias Legales y/o Normativas
Obligacin

Instrumento normativo

8.
Incumplimiento de obligaciones
Cumplir con las condiciones de Contrato

Consecuencia jurdica

Cdigo Civil

Penalidades
por
incumplimiento
previstas en el Contrato

Proteccin de Datos Personales

Contrato
Ley No. 29733 (Ley de Proteccin de
Datos Personales)

(i)
Penalidades
contractuales;
(ii)
Sanciones previstas en la Ley No.
29733 [aplicables al Cliente (Titular del
Banco de Datos) y al Proveedor
(encargado del Banco de Datos)]

Propiedad Intelectual

Contrato
Decreto Legislativo No. 822 (Ley sobre
Derechos de Autor)

Seguridad de la Informacin

Contrato

prestacin del servicio

Sanciones legales aplicables al infractor

(Cliente o Proveedor)
Penalidades contractuales previstas en
caso de prdida o deterioro de la
informacin confiada al Proveedor

Cloud Computing
Tratamiento Jurdico Internacional

La principal preocupacin a nivel internacional es la proteccin de los datos

personales involucrados en la prestacin de servicios Cloud Computing.
Ejemplo: Directiva 95/46/CE, Directiva de proteccin de las personas fsicas
en lo que respecta al trata miento de datos personales y a la libre circulacin
de estos.

Grupo de Trabajo del Artculo 29 (creado por el Artculo 29 de la Directiva

95/46/CE), integrado por las Autoridades de Proteccin de Datos de los
Estados miembros de la Comunidad Europea, encargado de analizar los asuntos
que afectan o puedan afectar la proteccin de datos personales.

Cloud Computing
Tratamiento Jurdico Internacional

En el Foro Econmico Mundial 2012 realizado en Davos, la vicepresidenta

de la Comisin Europea, Neelie Kroes, anunci la creacin de la European
Cloud Partnership (Autoridades pblicas, proveedores y consumidores de
servicios en Nube), cuya misin es lograr que la Unin Europea pase de ser
un entorno amigo del Cloud Computing a un entorno activo en Cloud
Computing.

Objetivo: Aprovechar la capacidad compradora de las Administraciones

Pblicas para, a travs de sus requisitos de contratacin de servicios Cloud
Computing, armonizar e integrar el servicio. Se busca estandarizar el
servicio, obtener nuevas y mejores ofertas, precios ms bajos, etc.

Gracias
lvinatea@mafirma.com.pe