NOTES ON THE MAIN ISSUES OF CLOUD COMPUTING CONTRACTS _ES
Correct misalignment Corrected by gloria.pinto.quesada on 11/25/2019 2:18:39 PM Original version Change languages order
NOTES ON THE MAIN ISSUES OF CLOUD COMPUTING CONTRACTS V1909103.docx (English)NOTES ON THE MAIN ISSUES OF CLOUD COMPUTING CONTRACTS V1909106.docx (Spanish)
V.19-09103V.19-09103
Notes on the Main Issues of Cloud Computing ContractsNotas sobre las principales cuestiones relacionadas con los contratos de computación en la nube
(prepared by the secretariat of(preparadas por la secretaría de
the United Nations Commission on International Trade Law, 2019)la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, 2019)
PrefacePrefacio
UNCITRAL considered the topic of contractual aspects of cloud computing at its forty-seventh to fiftieth sessions, in 2014 to 2017, respectively, on the basis of proposals by Canada (A/CN.9/823 and A/CN.9/856), progress reports of Working Group IV (Electronic Commerce) and oral reports by the Secretariat. At those sessions, UNCITRAL requested the Secretariat and the Working Group to conduct preparatory work on the topic.En sus períodos de sesiones 47º a 50º, celebrados entre 2014 y 2017, la CNUDMI examinó el tema de los aspectos contractuales de la computación en la nube sobre la base de las propuestas presentadas por el Canadá (A/CN.9/823 y A/CN.9/856), los informes sobre la marcha de la labor del Grupo de Trabajo IV (Comercio Electrónico) y los informes orales de la Secretaría, y pidió a la Secretaría y al Grupo de Trabajo que realizaran una labor preparatoria sobre ese tema.
The Working Group considered the topic in detail at its fifty-fifth session (New York, 24–28 April 2017) on the basis of a note by the Secretariat (A/CN.9/WG.IV/WP.142) and at its fifty-sixth session (New York, 16–20 April 2018) on the basis of a draft checklist on contractual aspects of cloud computing prepared with the input of experts, including during an expert group meeting convened by the Secretariat in Vienna on 20 and 21 November 2017 (A/CN.9/WG.IV/WP.148).El Grupo de Trabajo examinó el tema en detalle en su 55º período de sesiones (Nueva York, 24 a 28 de abril de 2017) sobre la base de una nota de la Secretaría (A/CN.9/WG.IV/WP.142) y, en su 56º período de sesiones (Nueva York, 16 a 20 de abril de 2018), a partir de un proyecto de lista de verificación sobre los aspectos contractuales de la computación en la nube preparado con la colaboración de expertos, en particular durante una reunión de un grupo de expertos convocada por la Secretaría y celebrada en Viena los días 20 y 21 de noviembre de 2017 (A/CN.9/WG.IV/WP.148).
Following its decision at its fifty-first session to review the draft notes on the main issues of cloud computing contracts prepared by the Secretariat before their publication, UNCITRAL, at its fifty-second session in 2019, approved the publication of the notes as amended at the session as Secretariat notes in the six official languages of the United Nations in the form of an online reference tool and a paper and electronic booklet.En su 52º período de sesiones, celebrado en 2019, la CNUDMI, conforme a la decisión que había adoptado en su 51er período de sesiones de examinar el proyecto de notas preparado por la Secretaría sobre las principales cuestiones relacionadas con los contratos de computación en la nube antes de su publicación, aprobó la publicación de las notas, con las modificaciones introducidas durante el período de sesiones, en forma de notas de la Secretaría y en los seis idiomas oficiales de las Naciones Unidas, como instrumento de consulta en línea y como folleto impreso y electrónico.
This publication reproduces the Notes on the Main Issues of Cloud Computing Contracts as approved by UNCITRAL for publication in 2019.En la presente publicación se reproducen las Notas sobre las principales cuestiones relacionadas con los contratos de computación en la nube en la forma en que las aprobó la CNUDMI para su publicación en 2019.
ContentsÍndice
ChapterCapítulo
PagePágina
IntroductionIntroducción
1.1.
The present Notes address the main issues of cloud computing contracts between business entities where one party (the provider) provides to the other party (the customer) one or more cloud computing services for end use.En estas Notas se abordan las principales cuestiones relacionadas con los contratos de computación en la nube celebrados entre entidades mercantiles en los que una de las partes (el proveedor) presta a la otra (el cliente) uno o más servicios de computación en la nube para su uso final.
Contracts for resale or other forms of further distribution of cloud computing services are excluded from the scope of the Notes.Los contratos de reventa u otras formas de distribución ulterior de los servicios de computación en la nube están excluidos del ámbito de aplicación de las Notas.
Also excluded from the scope of the Notes are contracts with cloud computing service partners and other third parties that may be involved in the provision of cloud computing services to the customer (e.g., contracts with subcontractors and Internet service providers).También quedan excluidos de su ámbito de aplicación los contratos celebrados con colaboradores de los servicios de computación en la nube y otros terceros que pudieran participar en la prestación de esos servicios al cliente (por ejemplo, los contratos celebrados con subcontratistas o proveedores de servicios de Internet).
2.2.
Cloud computing contracts may be qualified under the applicable law as a service, rental, outsourcing, licensing, mixed or other type of contract. Statutory requirements as regards its form and content may vary accordingly.En función de lo que disponga la legislación aplicable, los contratos de computación en la nube pueden considerarse contratos de servicios, de arrendamiento, de externalización, de licencia, mixtos o de otro tipo, y los requisitos legales en cuanto a su forma y contenido pueden variar según la naturaleza que se les asigne.
In some jurisdictions, parties themselves may qualify their contract as a contract of a particular type if legislation is silent or vague on that issue; the court would take such qualification into account in interpreting the terms of the contract unless this would contradict the law, court practice, the actual intention of the parties, the factual situation or business customs or practices.En algunas jurisdicciones, las propias partes pueden atribuir a su contrato una determinada naturaleza cuando la legislación guarde silencio o sea ambigua respecto de la cuestión, en cuyo caso los órganos jurisdiccionales tendrán en cuenta la naturaleza asignada al contrato al interpretar sus cláusulas, a menos que ello sea contrario a la ley, la práctica judicial, la verdadera intención de las partes, las circunstancias de hecho o las costumbres o prácticas comerciales.
3.3.
These Notes address issues that may arise from cloud computing contracts regardless of the type of cloud computing services (e.g., infrastructure as a service (IaaS), platform as a service (PaaS) or software as a service (SaaS)), their deployment model (e.g., public, community, private or hybrid) and payment terms (with or without remuneration).En estas Notas se abordan cuestiones que pueden plantearse con respecto a los contratos de computación en la nube con independencia del tipo de servicios de computación en la nube de que se trate (por ejemplo, de infraestructura como servicio (IaaS), plataforma como servicio (PaaS) o programas informáticos como servicio (SaaS)), de su modelo de despliegue (por ejemplo, público, compartido, privado o híbrido) y de las condiciones de pago (con o sin remuneración) que se apliquen.
The primary focus of the Notes is on contracts for the provision of public SaaS-type cloud computing services for remuneration.Las Notas se centran principalmente en los contratos de servicios de computación en la nube de tipo SaaS que utilizan el modelo de nube pública y se prestan a cambio de una remuneración.
4.4.
The ability to negotiate cloud computing contract clauses would depend on many factors, in particular on whether the contract involves standardized commoditized multi-subscriber cloud solutions or an individual tailor-made solution, whether a choice of competing offers exists, and on the bargaining positions of the potential parties.La posibilidad de negociar las cláusulas de un contrato de computación en la nube dependerá de muchos factores, en particular de si el contrato versa sobre soluciones de nube genéricas y estandarizadas para múltiples suscriptores o sobre una solución individual hecha a medida, de si existen o no ofertas de competidores, y de las posiciones de negociación de los posibles contratantes futuros.
The ability to negotiate the terms of a contract, in particular clauses on unilateral suspension, termination or modification of the contract by the provider, as well as liability clauses, may be an important factor in choosing the provider where the choice exists.La posibilidad de negociar las condiciones de un contrato, especialmente las cláusulas relativas a su suspensión, resolución o modificación unilaterales por el proveedor y las cláusulas de responsabilidad, puede ser un factor importante a la hora de elegir un proveedor en caso de que existan varias alternativas.
Although prepared primarily for parties negotiating a cloud computing contract, the Notes may also be useful for customers reviewing standard terms offered by providers to determine whether those terms sufficiently address the customer’s needs.Aunque las Notas se hayan elaborado principalmente para las partes que negocian un contrato de computación en la nube, también pueden resultar útiles para los clientes que deseen revisar las condiciones estándar ofrecidas por los proveedores a fin de determinar si esas condiciones se ajustan a sus necesidades.
5.5.
The Notes should not be regarded as an exhaustive source of information on drafting cloud computing contracts or as a substitute for obtaining any legal and technical advice and services of professional advisers.Las Notas no deben considerarse una fuente de información exhaustiva sobre la redacción de contratos de computación en la nube ni un sustituto del asesoramiento jurídico y técnico o de los servicios de asesores profesionales.
The Notes suggest issues for consideration by potential parties before and during contract drafting, including shared responsibility for security measures, without intending to convey that all of those issues must always be considered.En estas Notas se señalan algunas cuestiones que deberían tener en cuenta quienes consideren la posibilidad de celebrar un contrato, tanto antes de su redacción como durante esta, entre ellas la responsabilidad compartida de las partes con respecto a las medidas de seguridad, sin que se pretenda transmitir la idea de que todas esas cuestiones deben analizarse siempre.
The various solutions discussed in the Notes will not govern the relationship between the parties unless they expressly agree upon such solutions, or unless the solutions result from provisions of the applicable law.Las diversas soluciones que se examinan en las Notas no se aplicarán a las relaciones entre las partes a menos que estas las acepten expresamente o que las soluciones resulten de lo dispuesto en la ley aplicable.
Headings and subheadings used in the Notes and their sequence are not to be regarded as mandatory or as suggesting any preferred structure or style for a cloud computing contract.Ni los títulos ni los subtítulos utilizados en estas Notas ni el orden en que aparecen deben considerarse obligatorios ni debe entenderse que indican una preferencia por una estructura o un estilo determinados para los contratos de computación en la nube.
The form, content, style and structure of cloud computing contracts may vary significantly, reflecting various legal traditions, drafting styles, legal requirements and parties’ needs and preferences.La forma, el contenido, el estilo y la estructura de los contratos de computación en la nube pueden variar considerablemente según las diversas tradiciones jurídicas, estilos de redacción y requisitos legales, así como en función de las necesidades y preferencias de las partes.
6.6.
Lastly, the Notes are not intended to express the position of the United Nations Commission on International Trade Law (UNCITRAL) or its secretariat on the desirability of concluding cloud computing contracts.Por último, estas Notas no deben entenderse como una expresión de la opinión de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI) ni de su secretaría sobre la conveniencia de celebrar contratos de computación en la nube.
7.7.
The Notes consist of two parts and a glossary: part one addresses the main pre-contractual aspects that potential parties may wish to consider before entering into a cloud computing contract;Las Notas constan de dos partes y un glosario: en la primera parte se examinan los principales aspectos precontractuales que las futuras partes quizás deseen tener en cuenta antes de celebrar un contrato de computación en la nube;
part two addresses the main contractual issues that negotiating parties may face while drafting a cloud computing contract;en la segunda se abordan las principales cuestiones contractuales que las partes en la negociación pueden tener que resolver al redactar un contrato de computación en la nube;
and the glossary describes some technical terms used in the checklist, to facilitate understanding.y en el glosario se describen algunos de los términos técnicos utilizados en la lista de verificación a fin de facilitar su comprensión.
Part One.Primera parte.
Main pre-contractual aspectsPrincipales aspectos precontractuales
A.A.
Verification of mandatory law and other requirementsVerificación de la existencia de normas legales imperativas y otros requisitos
8.8.
The legal framework applicable to the customer, the provider or both may impose conditions for entering into a cloud computing contract.El régimen legal aplicable al cliente, al proveedor o a ambos puede imponer ciertas condiciones para la celebración de un contrato de computación en la nube.
Such conditions may also stem from contractual commitments, including intellectual property (IP) licences.Esas condiciones también pueden tener su origen en obligaciones contractuales, como las que surgen de las licencias de propiedad intelectual (PI).
The parties should in particular be aware of laws and regulations related to personal data, consumer protection, cybersecurity, export control, customs, tax, trade secrets, IP-specific and sector-specific regulation that may be applicable to them and their future contract.Las partes deberían prestar especial atención a las leyes y reglamentos en materia de datos personales, protección del consumidor, ciberseguridad, control de las exportaciones, aduanas, impuestos y secretos comerciales, a la reglamentación específica en materia de PI y a la normativa propia de cada sector que pudieran serles aplicables a ellas mismas y a su futuro contrato.
Non-compliance with mandatory requirements may have significant negative consequences, including invalidity or unenforceability of a contract or part thereof, administrative fines and criminal liability.El incumplimiento de los requisitos obligatorios puede acarrear importantes consecuencias negativas, entre ellas la nulidad o la inexigibilidad de la totalidad o una parte del contrato, la imposición de multas administrativas y la responsabilidad penal.
9.9.
Conditions for entering into a cloud computing contract may vary by sector and jurisdiction.Las condiciones exigidas para celebrar un contrato de computación en la nube pueden variar según el sector y la jurisdicción de que se trate.
They may include requirements to take special measures for the protection of data subjects’ rights, to deploy a particular model (e.g., private cloud as opposed to public cloud), to encrypt data placed in the cloud and to register with State authorities a transaction or a software used in the processing of personal data.Por ejemplo, puede requerirse la adopción de medidas especiales para proteger los derechos de los sujetos de los datos, el despliegue de un determinado modelo (por ejemplo, nube privada en lugar de pública), el cifrado de los datos alojados en la nube y el registro ante organismos públicos de una operación o un programa informático utilizado en el procesamiento de los datos personales.
They may also include data localization requirements, as well as requirements regarding the provider.También pueden exigirse requisitos de ubicación de los datos, así como otras condiciones relacionadas con el proveedor.
Data localizationUbicación de los datos
10.10.
Data localization requirements may arise in particular from the law applicable to personal data, accounting data, as well as public sector data and export control laws and regulations that may restrict the transfer of certain information or software to or from particular countries or a region.Los requisitos de ubicación de los datos pueden derivarse en particular de la legislación aplicable a los datos personales, los datos contables y los datos del sector público, así como de las leyes y reglamentos de fiscalización de las exportaciones que pueden limitar la transmisión de determinados programas informáticos o información hacia o desde determinados países o regiones.
Compliance with data localization requirements set forth in the applicable law would be of paramount importance for the parties. The contract would not be able to override those requirements.Será de suma importancia para las partes cumplir los requisitos de ubicación de los datos establecidos en la ley aplicable, los que no podrán dejarse sin efecto por la vía del contrato.
11.11.
Data localization requirements may also arise from contractual commitments (e.g., IP licences that require the licensed content to be stored on the user’s own secured servers).Los requisitos de ubicación de los datos también pueden emanar de obligaciones contractuales (por ejemplo, licencias de PI en las que se exija que el contenido bajo licencia se almacene en los servidores seguros del propio usuario).
Data localization may be preferred for purely practical reasons, for example to reduce latency, which may be especially important for real-time operations, such as stock exchange trading.También es posible que se prefiera establecer requisitos de ubicación de los datos por razones puramente prácticas, por ejemplo, para reducir la latencia, lo que puede ser especialmente importante en las operaciones en tiempo real, como las de tipo bursátil.
(On contractual data localization safeguards, see part two, paras. 74–75 and 78.)(En cuanto a las medidas de salvaguardia que pueden incluirse en el contrato respecto de la ubicación de los datos, véase la segunda parte, párrs. 74, 75 y 78).
Choice of a contracting partyElección de la parte contratante
12.12.
The choice of a contracting party may be restricted, in addition to market conditions, by statutory requirements.La elección de una parte contratante puede estar limitada no solo por las condiciones del mercado sino también por disposición de la ley.
There may be a statutory prohibition on entering into a cloud computing contract with foreign persons, persons from certain jurisdictions or persons not accredited/certified with competent State authorities.Es posible que exista una prohibición legal de celebrar contratos de computación en la nube con personas o entidades extranjeras, de determinadas jurisdicciones o que no hayan sido acreditadas ante los organismos públicos competentes o no hayan recibido certificación de estos.
There may be a requirement for a foreign person to form a joint venture with a national entity or to acquire local licenses and permissions, including export control permissions, for the provision of cloud computing services in a particular jurisdiction.También puede supeditarse la prestación de servicios de computación en la nube por parte de una persona o entidad extranjera en una jurisdicción determinada a que esa persona o entidad constituya una empresa mixta con una entidad nacional u obtenga determinadas licencias y permisos locales, entre ellos permisos de exportación.
Data localization requirements (see paras. 10–11 above) as well as statutory obligations on either party to disclose or provide access to the data and other content to foreign State authorities may also influence the choice of a contracting party.En la elección de la parte contratante también pueden influir los requisitos de ubicación de los datos (véanse los párrs. 10 y 11 supra), así como las disposiciones legales por las que se obligue a alguna de las partes a comunicar datos y otros contenidos a organismos públicos extranjeros o a facilitar el acceso de esos organismos a dichos datos o contenidos.
B.B.
Pre-contractual risk assessmentEvaluación precontractual de los riesgos
13.13.
The applicable mandatory law may require a risk assessment as a precondition to entering into a cloud computing contract.Las normas imperativas de la ley aplicable pueden exigir que se realice una evaluación de los riesgos como condición para celebrar un contrato de computación en la nube.
Even in the absence of statutory requirements, the parties may decide to undertake a risk assessment that might help them to identify risk mitigation strategies, including the negotiation of appropriate contractual clauses.Aun cuando la ley no imponga ese requisito, las partes pueden decidir llevar a cabo una evaluación de los riesgos que quizás les permita encontrar estrategias para mitigarlos, entre ellas la negociación de determinadas cláusulas contractuales.
14.14.
Not all risks arising from cloud computing contracts would be cloud-specific.No todos los riesgos derivados de los contratos de computación en la nube están relacionados específicamente con la nube.
Some risks would be handled outside a cloud computing contract (e.g., risks arising from online connectivity interruptions) and not all risks could be mitigated at an acceptable cost (e.g., reputational damage).Respecto de algunos de ellos (por ejemplo, los riesgos derivados de las interrupciones de la conexión a Internet) habrá que tomar medidas fuera del marco de un contrato de computación en la nube, y no todos los riesgos podrán mitigarse a un costo aceptable (por ejemplo, el riesgo de deterioro de la reputación).
In addition, risk assessment would not be a one-off event before concluding a contract.Además, la evaluación de los riesgos no es por lo general una medida que se adopte una sola vez antes de celebrar un contrato.
Risk assessment could be ongoing throughout the duration of the contract, and risk assessment outcomes may necessitate amendment or termination of the contract.Es posible que los riesgos se evalúen continuamente durante el período de vigencia del contrato y que, a raíz de esas evaluaciones, sea necesario modificar el contrato o ponerle fin.
Verification of information about a specific cloud computing service and a selected contracting partyVerificación de la información sobre determinados servicios de computación en la nube y una determinada parte contratante
15.15.
The following information may be relevant to the parties when they consider employing a specific cloud computing service and selecting a contracting party:La siguiente información puede resultar de interés para las partes cuando consideren la posibilidad de utilizar un determinado servicio de computación en la nube en particular y elegir a una parte contratante:
(a)a)
IP licenses required for using a specific cloud computing service;las licencias de PI necesarias para utilizar un determinado servicio de computación en la nube;
(b)b)
The privacy, confidentiality and security policies in place, in particular as regards prevention of unauthorized access, use, alteration or destruction of the data during processing, transit or transfer using the cloud computing infrastructure;las políticas de privacidad, confidencialidad y seguridad existentes, en especial en lo que respecta a la prevención del acceso, la utilización, la alteración o la destrucción no autorizados de los datos durante su procesamiento, tránsito o transmisión mediante el uso de infraestructura de computación en la nube;
(c)c)
Measures in place to ensure the ongoing access to metadata, audit trails and other logs demonstrating security measures;las medidas destinadas a garantizar el acceso continuado a los metadatos, registros de auditoría y otros registros que muestren las medidas de seguridad adoptadas;
(d)d)
The existing disaster recovery plan and notification obligations in the case of a security breach or system malfunction;la existencia de un plan de recuperación en casos de desastre y obligaciones de notificación en caso de violación de la seguridad o mal funcionamiento del sistema;
(e)e)
Policies in place as regards migration-to-the-cloud and end-of-service assistance as well as interoperability and portability;las políticas aplicables a la prestación de asistencia en los procesos de migración a la nube y finalización del servicio, así como en materia de interoperabilidad y portabilidad;
(f)f)
The existing measures for vetting and training of employees, subcontractors and other third parties involved in the provision of the cloud computing services;los métodos actuales de investigación de antecedentes y capacitación de los empleados, subcontratistas y otros terceros que participen en la prestación de los servicios de computación en la nube;
(g)g)
Statistics on security incidents and information about past performance with disaster recovery procedures;las estadísticas relativas a los incidentes de seguridad y la información cuantitativa y cualitativa sobre los servicios prestados en anteriores procedimientos de recuperación en casos de desastre;
(h)h)
Certification by an independent third party on compliance with technical standards;la certificación otorgada por un tercero independiente que acredite el cumplimiento de las normas técnicas;
(i)i)
Information indicating regularity and extent of audit by an independent body;la información sobre la periodicidad y el alcance de la auditoría realizada por un órgano independiente;
(j)j)
Financial viability;la viabilidad financiera;
(k)k)
Insurance policies;las pólizas de seguro;
(l)l)
Possible conflicts of interest;los posibles conflictos de intereses;
(m)m)
Extent of subcontracting and layered cloud computing services;el alcance de la subcontratación y de los servicios estratificados de computación en la nube;
(n)n)
Extent of isolation of data and other content in the cloud computing infrastructure;el grado de aislamiento de los datos y otros contenidos en la infraestructura de computación en la nube;
andy
(o)o)
Expected reciprocal roles and shared responsibilities of the parties for security measures.las funciones que cada parte espera que asuma la otra y la responsabilidad compartida por las partes con respecto a las medidas de seguridad.
IP infringement risksRiesgo de que se vulneren derechos de PI
16.16.
IP infringement risks may arise if, for example, the provider is not the owner or developer of the resources that it provides to its customers, but rather uses them under an IP licence arrangement with a third party.Puede existir el riesgo de que se vulneren derechos de PI en los casos en que, por ejemplo, el proveedor no sea el propietario de los recursos que suministra a sus clientes ni quien los ha desarrollado, sino que los utilice en virtud de un acuerdo de licencia de PI celebrado con un tercero.
IP infringement risks may also arise if the customer is required, for the implementation of the contract, to grant to the provider a licence to use the content that the customer intends to place in the cloud.También puede surgir dicho riesgo cuando, para llevar a efecto lo estipulado en el contrato, se exige al cliente que otorgue al proveedor una licencia de uso del contenido que el cliente desea almacenar en la nube.
In some jurisdictions, storage of the content on the cloud even for backup purposes may be qualified as a reproduction and require prior authorization from the IP rights owner.En algunas jurisdicciones, el almacenamiento de contenido en la nube, incluso con el fin de hacer copias de seguridad, puede considerarse una reproducción y requerir la autorización previa del titular de los derechos de PI.
17.17.
It is in the interests of both parties to ensure before the conclusion of the contract that the use of the cloud computing services would not constitute an infringement of IP rights and a cause for the revocation of the IP licences granted to either of them.Convendrá a los intereses de ambas partes asegurarse, antes de firmar el contrato, de que el uso de los servicios de computación en la nube no constituirá una violación de derechos de PI ni una causal de revocación de las licencias concedidas a cualquiera de las partes.
Costs of IP infringement may be very high.El costo de incurrir en una violación de derechos de PI puede ser muy elevado.
The right to sublicense may need to be arranged, or a direct licence arrangement may need to be concluded with the relevant third-party licensor under which the right to manage the licences will be granted.Es posible que sea necesario pactar el derecho a conceder sublicencias, o celebrar directamente con el correspondiente tercero licenciante un contrato de licencia por el que se otorgue el derecho a gestionar las licencias.
The use of open source software or other content may necessitate obtaining an advance consent from third parties and disclosing the source code with any modifications made to open source software or other content.Para utilizar programas informáticos de código abierto u otros contenidos tal vez haya que obtener previamente el consentimiento de terceros y revelar el código fuente con las modificaciones introducidas en esos programas y otros contenidos.
Risks to data security, integrity, confidentiality and privacyRiesgos para la seguridad, la integridad, la confidencialidad y la privacidad de los datos
18.18.
Migration of all or part of data to the cloud leads to the customer’s loss of exclusive control over that data and of the ability to deploy the necessary measures to guarantee data integrity and confidentiality or to verify whether data processing and retention are being handled adequately.Cuando se realiza la migración total o parcial de los datos a la nube, el cliente pierde tanto el control exclusivo de los datos como la capacidad de aplicar las medidas necesarias para garantizar la integridad y la confidencialidad de los datos o verificar si estos se están procesando y conservando correctamente.
The extent of the loss of control will depend on the type of cloud computing service.El grado de pérdida de control dependerá del tipo de servicios de computación en la nube.
19.19.
Inherent features of cloud computing services such as broad network access, multi-tenancy and resource pooling may require from the parties more precautions to prevent interception of communications and other cyberattacks that may lead to the loss or compromise of credentials for access to cloud computing services, data loss and other security breaches.Debido a las características inherentes a los servicios de computación en la nube, como el acceso amplio a la red, el arrendamiento múltiple y la combinación de recursos, es posible que las partes tengan que adoptar más precauciones para evitar la interceptación de las comunicaciones y otras formas de ciberataque que puedan dar lugar a la pérdida o alteración de las credenciales de acceso a los servicios de computación en la nube, la pérdida de datos y otras violaciones de la seguridad.
Adequate isolation of resources and data segregation and robust security procedures are especially important in a shared environment such as cloud computing.El aislamiento adecuado de los recursos, la segregación de los datos y la adopción de procedimientos de seguridad rigurosos son especialmente importantes en entornos compartidos como el de la computación en la nube.
20.20.
Security measures will be the shared responsibility of the parties in the cloud computing environment regardless of the type of cloud computing services employed.La adopción de medidas de seguridad será una responsabilidad compartida por las partes en el entorno de la computación en la nube, independientemente del tipo de servicios de computación en la nube que se utilicen.
Pre-contractual risk assessment provides a good opportunity for the parties to eliminate any ambiguity in defining their roles and responsibilities related to data security, integrity, confidentiality and privacy.La evaluación de los riesgos en la etapa precontractual ofrece una buena oportunidad para que las partes eliminen cualquier ambigüedad que pueda existir en la definición de sus funciones y responsabilidades en lo que respecta a la seguridad, la integridad, la confidencialidad y la privacidad de los datos.
Contractual clauses will play an important role in reflecting the agreement of the parties on the mutual allocation of risks and liabilities related to those and other aspects of the provision of cloud computing services (see part two, paras. 125–137).Las cláusulas del contrato serán importantes para reflejar lo acordado por las partes en cuanto a la distribución de los riesgos y las responsabilidades entre ellas en relación con esos y otros aspectos de la prestación de servicios de computación en la nube (véase la segunda parte, párrs. 125 a 137).
Those clauses will not be able to override mandatory provisions of law.Sin embargo, dichas cláusulas no podrán dejar sin efecto las disposiciones imperativas de la ley.
Penetration tests, audits and site visitsPruebas de penetración, auditorías e inspecciones in situ
21.21.
Steps may be taken at the pre-contractual stage to verify the adequacy of isolation of resources, data segregation, identification procedures and other security measures.En la etapa precontractual pueden adoptarse medidas para verificar que el aislamiento de los recursos, la segregación de los datos, los procedimientos de identificación y otras medidas de seguridad sean adecuados.
They should aim at identifying possible additional precautions that may need to be taken by the parties to prevent data security breaches and other malfunctions in the provision of the cloud computing services to the customer.Tales medidas deberían estar dirigidas a determinar las posibles precauciones adicionales que las partes quizás deban adoptar para prevenir violaciones de la seguridad de los datos y otros problemas de funcionamiento en la prestación de los servicios de computación en la nube al cliente.
22.22.
Laws and regulations may require audits, penetration tests and physical inspection of data centres involved in the provision of the cloud computing services, in particular to ascertain that their location complies with statutory data localization requirements (see paras. 10–11 above).Los centros de datos que se utilizan para prestar servicios de computación en la nube pueden tener que someterse, por disposición legal o reglamentaria, a auditorías, pruebas de penetración e inspecciones físicas, especialmente para verificar que el lugar en que se encuentran se ajusta a los requisitos de ubicación de los datos previstos en la ley (véanse los párrs. 10 y 11 supra).
The parties would need to agree on conditions for undertaking those activities, including their timing, allocation of costs and indemnification for any possible damage caused by those activities.Las partes tendrán que ponerse de acuerdo sobre las condiciones en que se llevarán a cabo esas actividades, en particular el momento en que se realizarán, la forma en que se distribuirán los gastos y la indemnización que deberá pagarse en caso de que se produzcan daños como resultado de esas actividades.
Lock-in risksRiesgos de dependencia
23.23.
Avoiding or reducing lock-in risks, often arising from the lack of interoperability and portability, may be one of the most important considerations for the parties.Una de las cuestiones más importantes que las partes deberían tener en cuenta es la de evitar o reducir los riesgos de dependencia que suelen derivarse de la falta de interoperabilidad y portabilidad.
Higher lock-in risks may arise from long-term contracts and from automatically renewable short- and medium-term contracts.En los contratos a largo plazo, así como en los contratos a corto y mediano plazo que se renuevan automáticamente, el riesgo de dependencia puede ser mayor.
24.24.
Risks of application and data lock-ins are especially high in SaaS and PaaS.Los riesgos de dependencia de las aplicaciones y los datos son especialmente elevados en los servicios de tipo Saas y PaaS.
Data may exist in formats specific to one cloud system that will not be usable in other systems.Los datos pueden estar en formatos específicos de un sistema de nube que no sean utilizables en otros sistemas.
In addition, a proprietary application or system used to organize data may require adjustment of licensing terms to allow operation in a different network.Además, es posible que la aplicación o el sistema utilizados para organizar los datos estén patentados y que, por lo tanto, sea necesario modificar las condiciones de la licencia para permitir el funcionamiento en una red diferente.
Programs to interact with the application programming interfaces (API) may need to be rewritten to take into account the new system’s API.En los casos en que se hayan elaborado programas a fin de interactuar con las interfaces de programación de aplicaciones (API), puede ser necesario volver a escribir el programa para tener en cuenta la API del nuevo sistema.
High switching costs may also arise from the need to retrain end users.Esos cambios también pueden entrañar gastos elevados como consecuencia de la necesidad de volver a capacitar a los usuarios finales.
25.25.
In PaaS, there could also be runtime lock-in since runtimes (i.e., software designed to support the execution of computer programs written in a specific programming language) are often heavily customized (e.g., aspects such as allocating or freeing memory, debugging, etc.).En el caso de los servicios PaaS, también podría existir dependencia de las versiones de ejecución de los programas, ya que esas versiones (es decir, los programas informáticos diseñados para apoyar la ejecución de programas informáticos escritos en un lenguaje de programación específico) suelen estar muy personalizadas (por ejemplo, en lo concerniente a aspectos como la asignación o la liberación de memoria, la depuración de errores, etc.).
In IaaS, lock-in varies depending on the specific infrastructure services consumed. Like in PaaS, some infrastructure services may lead to application lock-in if the service depends on specific policy features (e.g., access controls).En lo que respecta a los servicios IaaS, la dependencia varía en función de los servicios de infraestructura específicos que se utilicen, aunque, al igual que los servicios PaaS, algunos servicios de infraestructura también pueden dar lugar a una dependencia de las aplicaciones si el servicio depende de determinados aspectos de política (por ejemplo, de los controles de acceso).
Some infrastructure services may also lead to data lock-in if more data are moved to the cloud for storage.Algunos servicios de infraestructura también pueden dar lugar a una dependencia de los datos si se traslada a la nube un mayor volumen de datos para su almacenamiento.
26.26.
At the pre-contractual stage, tests could be run to verify whether data and other content can be exported to another system and made usable there.En la etapa precontractual podrían realizarse pruebas para verificar si los datos y otros contenidos pueden exportarse a otro sistema y ser utilizables en él.
Synchronization between cloud and in-house platforms and replication of data elsewhere may be needed.Es posible que sea necesario sincronizar las plataformas internas del cliente con las que están en la nube y reproducir los datos en otro lugar.
Transacting with more than one party and opting for a combination of various types of cloud computing services and their deployment models (i.e., multi-sourcing), although possibly with cost and other implications, may be an important part of the mitigating strategy against lock-in risks.Una estrategia importante para mitigar los riesgos de dependencia puede ser la de contratar con más de una parte y optar por una combinación de diversos tipos de servicios de computación en la nube y sus modelos de despliegue (por ejemplo, emplear múltiples proveedores), aunque ello podría repercutir en los costos y acarrear otras consecuencias.
Contractual clauses may also assist with mitigating lock-in risks (see part two, in particular, paras. 84–86 and 144).Algunas cláusulas contractuales también pueden ayudar a mitigar los riesgos de dependencia (véase la segunda parte, en particular los párrs. 84 a 86 y 144).
Business continuity risksRiesgos para la continuidad de las operaciones
27.27.
The parties may be concerned about business continuity risks not only in anticipation of the scheduled termination of the contract, but also of its possible unilateral suspension or earlier termination, including when either party may no longer be in business.Los riesgos relacionados con la continuidad de las operaciones pueden preocupar a las partes no solo cuando se acerca la fecha prevista de vencimiento del contrato, sino también cuando existe la posibilidad de que se produzca una suspensión unilateral o una resolución anticipada del contrato, en particular en el caso de que alguna de las partes cese en sus actividades comerciales.
The law may require putting in place in advance an appropriate strategy to ensure business continuity, in particular in order to avoid the negative impact of termination or suspension of the cloud computing services on end users.Es posible que la ley exija que se adopte de antemano una estrategia adecuada que garantice la continuidad de las operaciones, especialmente para evitar las consecuencias negativas de la cancelación o la suspensión de los servicios de computación en la nube para los usuarios finales.
Contractual clauses may also assist with mitigating business continuity risks (see part two, paras. 109-111, 114–115, 153, 173 and 182).La inclusión de determinadas cláusulas en el contrato también puede ayudar a mitigar los riesgos para la continuidad de las operaciones (véase la segunda parte, párrs. 109 a 111, 114, 115, 153, 173 y 182).
Exit strategiesEstrategias de salida
28.28.
For successful exit strategies, parties may need to clarify from the outset: (a) the content that will be subject to exit (e.g., only the data that the customer entered in the cloud or also cloud service-derived data);Para que las estrategias de salida sean eficaces, las partes quizás tengan que aclarar desde el principio: a) el contenido al que podrá darse salida (por ejemplo, únicamente los datos que el cliente haya subido a la nube o también los datos obtenidos de los servicios de nube);
(b) any amendments that would be required to IP licenses to enable the use of that content in another system;b) las modificaciones que será necesario realizar en las licencias de PI para permitir el uso de ese contenido en otro sistema;
(c) control of decryption keys and access to them;c) el control de las claves de descifrado y el acceso a ellas;
and (d) the time period required to complete the exit.y d) el tiempo necesario para completar la salida.
End-of-service contractual clauses usually reflect the agreement of the parties on those issues (see part two, paras. 157–167).Las cláusulas contractuales relativas a la finalización del servicio suelen reflejar el acuerdo alcanzado por las partes respecto de esas cuestiones (véase la segunda parte, párrs. 157 a 167).
C.C.
Other pre-contractual issuesOtras cuestiones precontractuales
Disclosure of informationRevelación de información
29.29.
The applicable law may require the parties to a contract to provide to each other information that would allow them to make an informed choice about the conclusion of the contract.Es posible que la legislación aplicable exija que las futuras partes contratantes se suministren recíprocamente información que les permita tomar una decisión fundamentada sobre la celebración del contrato.
The absence, or the lack of clear communication to the other party, of information necessary to make the object of the obligation determined or determinable prior to contract conclusion may make a contract or part thereof null and void or entitle the aggrieved party to claim damages.La falta de comunicación clara a la otra parte de la información necesaria para que el objeto de las obligaciones quede determinado o sea susceptible de determinarse antes de que se celebre el contrato puede acarrear la nulidad de la totalidad o una parte de este, o dar derecho a la parte perjudicada a reclamar una indemnización por daños y perjuicios.
30.30.
In some jurisdictions, pre-contractual information may be considered an integral part of the contract.En algunas jurisdicciones, la información precontractual puede considerarse parte integrante del contrato.
In such cases, the parties would need to ensure that such information is appropriately recorded and that any mismatch between that information and the contract itself is avoided.En tales casos, las partes deberían asegurarse de que esa información quede debidamente registrada y evitar cualquier discrepancia entre ella y el contenido del propio contrato.
The parties would also need to deal with concerns over the impact of pre-contractually disclosed information on flexibility and innovation at the contract implementation stage.Las partes tendrían que ocuparse también de las cuestiones relacionadas con los efectos que la información revelada en la etapa precontractual puede tener sobre la flexibilidad y la innovación en la fase de ejecución del contrato.
ConfidentialityConfidencialidad
31.31.
Some information disclosed at the pre-contractual stage may be considered confidential, in particular as regards security, identification and authentication measures, subcontractors and the location and type of data centres (which in turn may identify the type of data stored there and access thereto by local or foreign State authorities).Es posible que parte de la información revelada en la etapa precontractual se considere confidencial, especialmente la relativa a las medidas de seguridad, identificación y autenticación, los subcontratistas, la clase de centros de datos de que se trata y el lugar en que se encuentran (lo que a su vez puede permitir identificar el tipo de datos almacenados en esos centros y los organismos públicos locales o extranjeros que tienen acceso a dichos datos).
The parties may agree that certain information disclosed at the pre-contractual stage should be treated as confidential.Las partes pueden convenir en que determinada información revelada en la etapa precontractual se trate de manera confidencial.
Written confidentiality undertakings or non-disclosure agreements may be required also from third parties involved in pre-contractual due diligence (e.g., auditors).Tal vez también se exija que los terceros que participan en el proceso de diligencia debida anterior a la celebración del contrato (por ejemplo, los auditores) se comprometan por escrito a mantener la confidencialidad o firmen acuerdos de no divulgación.
Migration to the cloudMigración a la nube
32.32.
Before migration to the cloud, the customer would usually be expected to classify data to be migrated to the cloud and secure it according to its level of sensitivity and criticality and inform the provider about the level of protection required for each type of data.Antes de migrar datos a la nube se suele pedir al cliente que clasifique los datos que va a migrar, los asegure en función de su grado de confidencialidad e importancia e informe al proveedor sobre el nivel de protección necesario para cada tipo de datos.
The customer may also be expected to supply to the provider other information necessary for the provision of the services (e.g., the customer’s data retention and disposition schedule, user identity and access management mechanisms and procedures for access to the encryption keys if necessary).Es posible que el cliente también deba proporcionar al proveedor otro tipo de información necesaria para la prestación de los servicios (como el plan de conservación y eliminación de los datos del cliente, la identidad del usuario y los mecanismos y procedimientos de gestión de acceso para acceder a las claves de cifrado, si fuera necesario).
33.33.
In addition to the transfer of data and other content to the provider’s cloud, migration to the cloud may involve installation, configuration, encryption, tests and training of the customer’s staff and other end users.Además de la transmisión de datos y otros contenidos a la nube del proveedor, la migración a la nube puede entrañar la adopción de procedimientos de instalación, configuración, cifrado y prueba, así como la capacitación del personal del cliente y otros usuarios finales.
Those aspects may be part of the customer contract with the provider or be the subject of a separate agreement of the customer with the provider or third parties, such as cloud computing service partners.Esos aspectos pueden preverse en el contrato celebrado entre el cliente y el proveedor o en otro contrato independiente que el cliente suscriba con el proveedor o terceros, como colaboradores de los servicios de computación en la nube.
Extra costs may arise.Pueden surgir gastos adicionales.
Parties involved in the migration would normally agree on their roles and responsibilities during migration, terms of their engagement, the format in which the data or other content is to be migrated to the cloud, timing of migration, an acceptance procedure to ascertain that the migration was performed as agreed and other details of the migration plan.Las partes que participan en la migración suelen ponerse de acuerdo sobre las funciones y responsabilidades que les incumbirán durante ese proceso, las condiciones de su participación, el formato en que se migrarán los datos u otros contenidos a la nube, el calendario de la migración, el procedimiento de aceptación que se utilizará para confirmar que la migración se llevó a cabo conforme a lo acordado y otros detalles del plan de migración.
Part two.Segunda parte.
Drafting a contractLa redacción del contrato
A.A.
General considerationsConsideraciones generales
Freedom of contractLibertad contractual
34.34.
The widely recognized principle of freedom of contract in business transactions allows parties to enter into a contract and to determine its content.El principio ampliamente reconocido de la libertad contractual en las operaciones comerciales permite a las partes celebrar contratos y determinar su contenido.
Restrictions on freedom of contracts may stem from legislation on non-negotiable terms applicable to particular types of contract or rules that sanction abuse of rights and harm to public order, morality and so forth.Las disposiciones legales sobre condiciones no negociables que se aplican a determinados tipos de contratos o las normas que penalizan la vulneración de derechos y las conductas contrarias al orden público, a la moral, etc., pueden imponer restricciones a la libertad contractual.
The consequences of non-compliance with those restrictions may range from unenforceability of a contract or part thereof to civil, administrative or criminal liability.Las consecuencias del incumplimiento de esas restricciones pueden ir desde la imposibilidad de exigir el cumplimiento de la totalidad o una parte del contrato hasta la posibilidad de incurrir en responsabilidad civil, administrativa o penal.
Contract formationLa formación del contrato
35.35.
The concepts of offer and acceptance have traditionally been used to determine whether and when the parties have reached an agreement as regards their respective legal rights and obligations that will bind them over the duration of the contract.Los conceptos de oferta y aceptación se han utilizado tradicionalmente para determinar si las partes han llegado o no a un acuerdo sobre los respectivos derechos y obligaciones legales que las vincularán durante el período de vigencia del contrato y, si así fuera, determinar el momento en que alcanzaron dicho acuerdo.
The applicable law may require certain conditions to be fulfilled for a proposal to conclude a contract to constitute a final binding offer (e.g., the proposal is to be sufficiently definite as regards the covered cloud computing services and payment terms).La ley aplicable puede exigir que se cumplan determinadas condiciones para que la propuesta de celebrar un contrato se considere una oferta definitiva y vinculante (por ejemplo, que la propuesta sea suficientemente precisa en lo que respecta a los servicios de computación en la nube comprendidos en el contrato y a las condiciones de pago).
36.36.
The contract is concluded when the acceptance of the offer becomes effective.El contrato se considera celebrado cuando se acepta la oferta.
There could be different acceptance mechanisms (e.g., for the customer clicking a check box on a web page, registering online for a cloud computing service, starting to use cloud computing services or paying a service fee;Los mecanismos de aceptación pueden ser diversos (por ejemplo, la aceptación puede consistir, en el caso del cliente, en marcar una casilla de una página web, registrarse en línea para acceder a un servicio de computación en la nube, comenzar a utilizar servicios de este tipo o pagar un precio por ellos;
for the provider starting or continuing to provide services;en el caso del proveedor, en empezar a prestar los servicios o continuar haciéndolo;
and for both parties signing a contract online or on paper).y, para ambas partes, en la firma de un contrato en línea o en papel).
Material changes to the offer (e.g., as regards liability, quality and quantity of the cloud computing services to be delivered or payment terms) may constitute a counteroffer that requires acceptance by the other party for a contract to be concluded.Los cambios sustanciales en la oferta (por ejemplo, los relativos a la responsabilidad, la calidad y la cantidad de los servicios de computación en la nube que han de prestarse o las condiciones de pago) pueden constituir una contraoferta que deberá recibir la aceptación de la otra parte para que el contrato se considere celebrado.
37.37.
Standardized commoditized multi-subscriber cloud solutions are as a rule offered through interactive applications (e.g., “click-wrap” agreements).Por regla general, las soluciones de nube genéricas y estandarizadas para múltiples suscriptores se ofrecen mediante aplicaciones interactivas (por ejemplo, los contratos electrónicos de tipo click-wrap, en que se exige la aceptación expresa previa).
There may be no or very little room for negotiating and adjusting the standard offer. Clicking “I accept”, “OK” or “I agree” is the only step expected to be taken to conclude the contract.En esos casos, puede haber poco o ningún margen para negociar y modificar la oferta estándar, ya que el único paso necesario para celebrar el contrato consiste en hacer clic en “Acepto”, “OK” o “De acuerdo”.
Where negotiation of a contract is involved, contract formation may consist of a series of steps, including preliminary exchange of information, negotiations, delivery and acceptance of an offer and the contract’s preparation.Cuando se negocia un contrato, su formación puede abarcar una serie de etapas, entre ellas el intercambio de información preliminar, las negociaciones, la formulación y aceptación de una oferta y la preparación del contrato.
Contract formLa forma del contrato
38.38.
Cloud computing contracts are typically concluded online.Los contratos de computación en la nube suelen celebrarse en línea.
They may be called differently (a cloud computing service agreement, a master service agreement or terms of service (TOS)) and may comprise one or more documents such as an acceptable use policy (AUP), a service level agreement (SLA), a data processing agreement or data protection policy, security policy and license agreement.Pueden recibir diferentes denominaciones (contrato de servicios de computación en la nube, contrato marco de servicios o condiciones de servicio) y pueden abarcar uno o varios documentos, como una política de uso aceptable (PUA), un acuerdo de prestación de servicios (SLA), un acuerdo de procesamiento de datos o una política de protección de datos, una política de seguridad y un contrato de licencia.
39.39.
The legal rules applicable to cloud computing contracts may require that the contract be in writing, especially where personal data processing is involved, and that all documents incorporated by reference be attached to the master contract.Las normas jurídicas aplicables a los contratos de computación en la nube pueden exigir que estos consten por escrito (especialmente cuando en ellos se prevea el procesamiento de datos personales) y que se adjunten al contrato principal todos los documentos incorporados a él por remisión.
Even when written form is not required, for ease of reference, clarity, completeness, enforceability and effectiveness of the contract, the parties may decide to conclude a contract in writing with all ancillary agreements incorporated thereto.Incluso en los casos en que no se exige la forma escrita, las partes pueden decidir celebrar el contrato por escrito incorporando, asimismo, todos los acuerdos complementarios, para facilitar su consulta y en aras de la claridad, integridad, exigibilidad y eficacia del contrato.
40.40.
The signing of a contract on paper may be required under the applicable law for specific purposes such as tax purposes, although that type of requirement is becoming rare in an increasingly paperless environment.La ley aplicable puede exigir que se firme un contrato en papel a determinados efectos, por ejemplo, de índole fiscal, aunque este requisito es cada vez menos frecuente debido a la disminución del uso del papel.
Definitions and terminologyDefiniciones y terminología
41.41.
Due to the nature of cloud computing services, cloud computing contracts contain by necessity many technical terms.Los contratos de computación en la nube, por la naturaleza de los servicios de computación en la nube a que se refieren, contienen necesariamente numerosos términos técnicos.
The glossary of terms may be included in the contract, as may definitions of main terms used throughout the contract, to avoid ambiguities in their interpretation.Se puede incluir en el contrato un glosario de términos, así como las definiciones de los principales términos empleados en él, a fin de evitar ambigüedades en su interpretación.
The parties may wish to consider using internationally established terminology for the purpose of ensuring consistency and legal clarity.Las partes tal vez deseen considerar la posibilidad de utilizar la terminología establecida a nivel internacional a fin de garantizar la coherencia y la claridad jurídica.
Usual contract contentContenido habitual del contrato
42.42.
A contract normally: (a) identifies the contracting parties;En todo contrato se suele establecer lo siguiente: a) la identificación de las partes contratantes;
(b) defines the scope and object of the contract;b) la definición del objeto y el ámbito de aplicación del contrato;
(c) specifies rights and obligations of the parties, including payment terms;c) la descripción de los derechos y obligaciones de las partes, en particular las condiciones de pago;
(d) establishes the duration of the contract and conditions for its termination and renewal;d) el período de vigencia del contrato y las condiciones de su extinción o renovación;
(e) identifies remedies for breach and exemptions from liability;e) los recursos de que se dispondrá en caso de incumplimiento y las exenciones de responsabilidad;
and (f) specifies the effects of termination of the contract.y f) los efectos de la resolución del contrato.
It also usually contains clauses on dispute resolution and choice of law and choice of forum.También es habitual incluir en el contrato cláusulas relativas a la solución de controversias y a la elección del foro y la ley aplicable.
The content, style and structure of contracts may vary significantly, reflecting various legal traditions, drafting styles, legal requirements and parties’ needs and preferences.El contenido, el estilo y la estructura de los contratos pueden variar considerablemente según las diversas tradiciones jurídicas, estilos de redacción y requisitos legales, así como en función de las necesidades y preferencias de las partes.
B.B.
Identification of contracting partiesIdentificación de las partes contratantes
43.43.
The correct identification of contracting parties may have a direct impact on the formation and enforceability of the contract.La correcta identificación de las partes contratantes puede incidir directamente en la formación y la exigibilidad del contrato.
The applicable law would specify the information needed to ascertain the legal personality of a business entity and its capacity to enter into a contract.La ley aplicable suele especificar la información necesaria para determinar si una entidad mercantil tiene personalidad jurídica y capacidad para contratar.
The law may require additional information for specific purposes, for example, an identification number for tax purposes or power of attorney to ascertain the power of a natural person to sign and commit on behalf of a legal entity.También puede exigir que se incluya información adicional para determinados fines, por ejemplo, un número de identificación fiscal o un poder de representación que permita determinar si una persona física tiene facultades para firmar y contraer obligaciones en nombre de una persona jurídica.
C.C.
Defining the scope and the object of the contractDefinición del objeto y ámbito de aplicación del contrato
44.44.
Objects of cloud computing contracts vary substantially in their type and complexity given the range of cloud computing services.Habida cuenta de la diversidad de servicios de computación en la nube que existe, el objeto de los contratos de computación en la nube varía sustancialmente en lo que se refiere a su tipología y complejidad.
Within the duration of a single contract, the object may change: some cloud computing services may be cancelled and other services may be added.El objeto de un contrato puede variar a lo largo de su período de vigencia, ya que es posible que se cancelen algunos servicios de computación en la nube y que se añadan otros.
The object of the contract may comprise the provision of core, ancillary and optional services.Asimismo, el objeto de estos contratos puede abarcar la prestación de servicios esenciales, auxiliares y opcionales.
45.45.
The description of the object of the contract usually includes a description of a type of cloud computing services (SaaS, PaaS, IaaS or a combination thereof), their deployment model (public, community, private or hybrid), their technical, quality and performance characteristics and any applicable technical standards.En la descripción del objeto del contrato se suele describir el tipo de servicios de computación en la nube que se prestarán (SaaS, PaaS, IaaS o una combinación de ellos), su modelo de despliegue (público, compartido, privado o híbrido), sus características técnicas, de calidad y de funcionamiento, y las normas técnicas que pudieran ser aplicables.
Several documents comprising the contract may be relevant for determining the object of the contract (see para. 38 above).Algunos de los documentos que conforman el contrato pueden resultar pertinentes para determinar su objeto (véase el párr. 38 supra).
Service level agreementAcuerdo de prestación de servicios
46.46.
The service level agreement (SLA) contains performance parameters against which the delivery of the cloud computing services, the extent of the contractual obligations and possible contractual breaches of the provider will be measured.En el acuerdo de prestación de servicios (SLA) se establecen los parámetros cuantitativos y cualitativos que se utilizarán para evaluar la prestación de los servicios de computación en la nube, el alcance de las obligaciones contractuales y los posibles incumplimientos del proveedor.
Information technology specialists are normally involved in the formulation of the performance parameters.En la formulación de los parámetros cuantitativos y cualitativos suelen participar especialistas en tecnología de la información.
47.47.
Quantitative performance parameters usually relate to capacity (a specified capacity of data storage or specified amount of memory available to the running program), downtime or outages, latency, persistency of data storage, uptime, support services (e.g., during the customer’s operating hours or 24/7), and incident and disaster management and recovery plans.Por lo general, los parámetros cuantitativos se refieren a la capacidad (una determinada capacidad de almacenamiento de datos o una determinada cantidad de memoria disponible para el programa en ejecución), el período de interrupción o los cortes del servicio, la latencia, la permanencia del almacenamiento de los datos, el período de disponibilidad del servicio, los servicios de apoyo (por ejemplo, durante el horario de actividad del cliente o 24/7) y los planes de gestión y recuperación en casos de desastres e incidentes.
The latter may include the maximum incident resolution time, the maximum first response time, recovery point objectives and recovery time objectives.En esos planes pueden establecerse parámetros como el tiempo máximo establecido para que se resuelvan los incidentes, el tiempo de respuesta inicial máximo, los objetivos de punto de recuperación y los objetivos de tiempo de recuperación.
48.48.
Qualitative performance parameters may relate to data deletion, data localization requirements, portability, security and data protection/privacy.Los parámetros cualitativos pueden referirse a la eliminación de datos, los requisitos de ubicación de los datos, la portabilidad, la seguridad y la privacidad o protección de los datos.
Some aspects of service may be measured against both qualitative and quantitative performance parameters.Algunos aspectos del servicio pueden medirse en función tanto de parámetros cualitativos como de parámetros cuantitativos.
For example, elasticity and scalability may be defined with reference to both the maximum available resources within a specified minimum period and the quality and security of the measures that may need to be adapted to the varying degrees of sensitivity of the stored customer data.Por ejemplo, la elasticidad y la escalabilidad pueden definirse tomando como referencia tanto la disponibilidad máxima de los recursos en un plazo mínimo establecido como la calidad y la seguridad de las medidas que pueda ser necesario adaptar según los distintos grados de confidencialidad de los datos almacenados de los clientes.
Encryption may be expressed as a defined bit value at rest, in transit and in use.El cifrado puede expresarse como un valor definido de bits en reposo, en tránsito y en uso.
In addition to or instead of such a quantitative parameter, encryption may be measured against a qualitative parameter (e.g., the provider is to ensure that customer data are encrypted whenever they are transported over a public communication network and whenever they are at rest in data centres used by the provider).Además de esos parámetros cuantitativos, o en lugar de ellos, se pueden utilizar parámetros cualitativos para medir el cifrado (por ejemplo, el proveedor debe asegurarse de que los datos del cliente estén cifrados cuando se transmitan por una red de comunicaciones pública, así como cuando estén en reposo en centros de datos utilizados por el proveedor).
49.49.
Different commitments (i.e., obligations of result or of best efforts) could be agreed upon depending in particular on the terms of payment and whether standardized commoditized multi-subscriber solutions are provided.Podrían pactarse distintos tipos de obligaciones (es decir, obligaciones de resultado o de medios) en función, sobre todo, de las condiciones de pago y de si se proporcionan o no soluciones genéricas y estandarizadas para múltiples suscriptores.
The type of commitment would have implications, including for the burden of proof in case of dispute.El tipo de obligación que se estipule tendría consecuencias en caso de litigio, entre otras cosas con respecto a la carga de la prueba.
Performance measurementEvaluación de la cantidad y calidad de los servicios
50.50.
The parties may include in the contract a measurement methodology and procedures, specifying in particular a reference period for the measurement of services (daily, weekly, monthly, etc.), service delivery reporting mechanisms (i.e., the frequency and form of such reporting), the role and responsibilities of the parties and metrics to be used (e.g., metrics at the point of provision or at the point of consumption of services).Las partes pueden establecer en el contrato una metodología y unos procedimientos de evaluación, especificando en particular un período de referencia para la evaluación de los servicios (diario, semanal, mensual, etc.), los mecanismos de presentación de informes sobre la prestación de los servicios (es decir, la frecuencia y la forma en que se presentarán esos informes), la función y las responsabilidades de las partes, así como el sistema de medición que se utilizará (por ejemplo, si la medición se hará en el momento en que se presten los servicios o en el momento en que se utilicen).
The parties may agree on an independent measurement of performance and how the related costs are to be allocated.Las partes pueden convenir en que se haga una evaluación independiente de la cantidad y calidad de los servicios y pactar la forma en que se distribuirán los gastos conexos.
51.51.
The customer is normally interested in measuring services during peak hours, i.e., when they are most needed.Normalmente, al cliente le interesa que la evaluación se haga en las horas de máxima intensidad de tráfico, es decir, cuando los servicios son más necesarios.
The customer is usually able to measure (or verify the measurements provided by the provider or third parties) only those metrics that are based on performance at the point of consumption, but not those based on system performance at the point of provision of services.Por lo general, el cliente puede realizar mediciones (o verificar las que realice el proveedor o terceros), pero solo las que evalúen la cantidad y la calidad de los servicios en el momento en que se utilicen y no cuando se presten.
The customer may be able to evaluate the performance at the point of provision of services based on reports provided by the provider or third parties.El cliente tal vez pueda evaluar la calidad y la cantidad de los servicios en el momento en que se prestan a partir de los informes facilitados por el proveedor o por terceros.
The provider may agree to provide the customer with performance reports on demand, either periodically (daily, weekly, monthly, etc.) or following a particular incident.El proveedor puede convenir en proporcionar al cliente informes sobre la cantidad y calidad de los servicios cuando este lo solicite, ya sea de forma periódica (diaria, semanal, mensual, etc.) o cuando se produzca un determinado incidente.
Alternatively, the provider may agree to grant the customer the right to review the provider’s records related to the service-level measurements.Como alternativa a lo anterior, el proveedor puede conceder al cliente el derecho a revisar sus registros de las mediciones cuantitativas y cualitativas de los servicios.
Some providers enable customers to monitor data on service performance in real time.Algunos proveedores permiten que el cliente haga un seguimiento de los datos relativos a la cantidad y calidad de los servicios en tiempo real.
52.52.
The contract may oblige either or both parties to maintain records about the provision and consumption of services for a certain time.El contrato puede obligar a una de las partes o a ambas a conservar durante algún tiempo los registros correspondientes a la prestación y la utilización de los servicios.
Such information may be useful in negotiating any amendments to the contract and in case of disputes.Esa información puede resultar útil a la hora de negociar modificaciones al contrato y en caso de litigio.
Acceptable use policyPolítica de uso aceptable
53.53.
An acceptable use policy (AUP) sets out conditions for use by the customer and its end users of the cloud computing services covered by the contract.En la política de uso aceptable (PUA) se establecen las condiciones de uso por el cliente y sus usuarios finales de los servicios de computación en la nube comprendidos en el contrato.
It aims at protecting the provider from liability arising out of the conduct of their customers and customers’ end users.Su finalidad es proteger al proveedor frente a la responsabilidad que pudiera derivarse de la actividad de sus clientes y los usuarios finales de estos últimos.
Any potential customer is expected to accept such a policy, which will form part of the contract with the provider.Se espera que los posibles clientes acepten esta política, que formará parte del contrato celebrado con el proveedor.
The vast majority of standard AUPs prohibit a consistent set of activities that providers consider to be improper or illegal uses of cloud computing services.La inmensa mayoría de las PUA estándar prohíben sistemáticamente determinadas actividades que los proveedores consideran que constituyen usos inadecuados o ilícitos de los servicios de computación en la nube.
AUP may restrict not only the type of content that may be placed on the cloud but also the customer’s right to give access to data and other content placed on the cloud to third parties (e.g., nationals of certain countries or persons included in sanctions lists).Las PUA pueden restringir no solo el tipo de contenido que se permite alojar en la nube, sino también el derecho del cliente a autorizar el acceso por parte de terceros (por ejemplo, nacionales de determinados países o personas incluidas en las listas de sanciones) a los datos y otros contenidos alojados en la nube.
The parties may agree to remove some prohibitions to accommodate specific business needs of the customer to the extent that such removal would be permissible under law.Las partes pueden convenir en eliminar algunas prohibiciones para atender necesidades empresariales concretas del cliente, siempre que esa eliminación esté permitida por la ley.
54.54.
It is usual for provider’s standards terms to require that customer’s end users also comply with AUP and to oblige the customer to use its best efforts or commercially reasonable efforts to ensure such compliance.Es habitual que el proveedor exija, como parte de sus condiciones estándar, que los usuarios finales del cliente también respeten la PUA y que el cliente haga todo lo posible, o todo lo que sea razonable desde el punto de vista comercial, para garantizar que sus usuarios la respeten.
Some providers may require customers to affirmatively prevent any unauthorized or inappropriate use by third parties of the cloud computing services offered under the contract.Algunos proveedores pueden exigir que los clientes tomen medidas para impedir todo uso no autorizado o inadecuado por parte de terceros de los servicios de computación en la nube que se brinden con arreglo al contrato.
The parties may agree on limited obligations, for example, that the customer will communicate AUP to known end users, not authorize or knowingly allow such uses, and notify the provider of all unauthorized or inappropriate uses of which it becomes aware.Las partes pueden pactar un conjunto limitado de obligaciones, por ejemplo, que el cliente comunique la PUA a los usuarios finales conocidos, no autorice ni permita deliberadamente usos no autorizados o inadecuados, y notifique al proveedor todo uso de esa índole que llegue a su conocimiento.
55.55.
In a few jurisdictions, the law could impose duties on the provider as regards the content hosted on its cloud computing infrastructure, e.g., the duty to report illegal material to public authorities.En algunas jurisdicciones, la ley podría imponer obligaciones a los proveedores con respecto al contenido alojado en su infraestructura de computación en la nube, por ejemplo, la obligación de informar a los organismos públicos de la existencia de material ilícito.
Those duties may be non-transferrable to the customer or to end users by AUP or otherwise.Quizás no sea posible trasladar esas obligaciones al cliente ni a los usuarios finales mediante la PUA ni de ninguna otra manera.
They might have privacy and other ramifications and would be among factors considered in choosing a suitable provider (see part one, para. 12).Además, podrían repercutir en la privacidad y en otros aspectos y serían uno de los factores que habría que tener en cuenta al elegir un proveedor adecuado (véase la primera parte, párr. 12).
Security policyPolítica de seguridad
56.56.
Security of the system, including customer data security, involves shared responsibilities of the parties.Mantener la seguridad del sistema y de los datos del cliente es una responsabilidad compartida de las partes.
The contract would need to specify reciprocal roles and responsibilities of the parties as regards security measures, reflecting obligations that may be imposed by mandatory law on either or both parties.En el contrato deberían especificarse las funciones y responsabilidades que incumbirán a cada parte en lo que respecta a las medidas de seguridad, a fin de reflejar las obligaciones que correspondan a una de las partes o a ambas en virtud de normas legales imperativas.
57.57.
Usually, the provider will follow its security policies.Por lo general, el proveedor aplicará sus propias políticas de seguridad.
In some cases, although not in standardized commoditized multi-subscriber solutions, it might be possible to reach an agreement that the provider will follow the customer’s security policies.En algunas situaciones, salvo en el caso de las soluciones genéricas y estandarizadas para múltiples suscriptores, se podría llegar a convenir en que el proveedor aplicara las políticas de seguridad del cliente.
The contract may specify security measures (e.g., requirements for sanitization or deletion of data in the damaged media, the storage of separate packages of data in different locations, the storage of the customer’s data on specified hardware that is unique to the customer).En el contrato pueden detallarse las medidas de seguridad que han de adoptarse (por ejemplo, los requisitos para la eliminación, irreversible o no, de los datos almacenados en un soporte dañado, el almacenamiento de distintos paquetes de datos en lugares diferentes o el almacenamiento de los datos del cliente en un equipo físico concreto, destinado exclusivamente a ese cliente).
Excessive disclosure of security information in the contract may, however, be risky.No obstante, incluir una cantidad excesiva de información de seguridad en el contrato puede resultar peligroso.
58.58.
Some security measures do not presuppose the other party’s input but rely exclusively on the relevant party’s routine activities, such as inspections by the provider of the hardware on which the data is stored and on which the services run, and effective measures to ensure controlled access thereto.Algunas medidas de seguridad no requieren la actuación de una de las partes, sino que dependen exclusivamente de las actividades ordinarias de la otra, como las inspecciones del equipo físico en que se almacenan los datos y se ejecutan los servicios que realiza el proveedor, así como las medidas eficaces para controlar el acceso a dicho equipo.
In other cases, allowing the party to perform its duties or evaluate and monitor the quality of security measures delivered may presuppose the input of the other party.En otros casos, la actuación de una parte puede ser necesaria para que la otra pueda cumplir sus obligaciones o evaluar y vigilar la calidad de las medidas de seguridad adoptadas.
The customer, for example, would be expected to update lists of users’ credentials and their access rights and inform the provider of changes in time to ensure the proper identity and access management mechanisms.Por ejemplo, es posible que el cliente tenga que actualizar las listas con las credenciales de los usuarios y sus derechos de acceso, e informar de los cambios al proveedor con la antelación suficiente para garantizar el correcto funcionamiento de los mecanismos de gestión de la identidad y de acceso.
The customer would also be expected to inform the provider about the level of security to be allocated to each category of data.El cliente quizás tenga que comunicar también al proveedor el nivel de seguridad que deberá asignarse a cada categoría de datos.
59.59.
Some threats to security may be outside the contractual framework between the customer and the provider and may require the terms of the cloud computing contract to be aligned with other contracts of the provider and the customer (e.g., with Internet service providers).Es posible que algunas amenazas a la seguridad queden fuera del marco contractual pactado entre el cliente y el proveedor, y que a raíz de ellas sea necesario ajustar las condiciones del contrato de computación en la nube a las de otros contratos suscritos por ellos (como los contratos celebrados con proveedores de servicios de Internet).
Data integrityIntegridad de los datos
60.60.
Providers’ standard contracts may contain a general disclaimer that the ultimate responsibility for preserving the integrity of the customer’s data lies with the customer.En los contratos estándar de los proveedores puede figurar una cláusula de descargo general de responsabilidad en que se estipule que, en última instancia, la responsabilidad de preservar la integridad de los datos del cliente recaerá sobre este.
61.61.
Some providers may be willing to undertake data integrity commitments (for example, regular backups), possibly for an additional payment.Algunos proveedores pueden estar dispuestos a asumir ciertos compromisos con respecto a la integridad de los datos (como realizar copias de seguridad con regularidad), quizás a cambio de un pago adicional.
Regardless of the contractual arrangements with the provider, the customer may wish to consider whether it is necessary to secure access to at least one usable copy of its data outside the provider’s and its subcontractors’ control, reach or influence and independently of their participation.Con independencia de lo pactado con el proveedor, al cliente quizás le convendría preguntarse si no debería tener acceso a por lo menos una copia utilizable de sus datos que se encuentre fuera del control, el alcance o la influencia del proveedor y sus subcontratistas y en la que estos no participen.
Confidentiality clauseCláusula de confidencialidad
62.62.
The provider’s willingness to commit to ensuring the confidentiality of customer data depends on the nature of services provided to the customer under the contract, in particular whether the provider will be required to have unencrypted access to data for the provision of those services.La decisión del proveedor de comprometerse o no a garantizar la confidencialidad de los datos del cliente dependerá de la naturaleza de los servicios que deban prestarse a este con arreglo al contrato y, en especial, de si necesitará tener acceso no cifrado a los datos para poder prestar tales servicios.
Some providers may not be in a position to offer a confidentiality or non-disclosure clause and may expressly waive any duty of confidentiality regarding customer data.Es posible que algunos proveedores no estén en condiciones de ofrecer una cláusula de confidencialidad o de no divulgación y que se eximan expresamente de asumir cualquier deber de confidencialidad respecto de los datos del cliente.
Other providers may be willing to assume liability for confidentiality of data disclosed by the customer during contract negotiations, but not for data processed during service provision.Otros proveedores pueden estar dispuestos a asumir la responsabilidad de mantener la confidencialidad de los datos revelados por el cliente en el marco de la negociación del contrato, pero no la de los datos procesados durante la prestación de los servicios.
Some standard confidentiality clauses offered by providers may not be sufficient to ensure compliance with applicable law.Algunas cláusulas de confidencialidad estándar propuestas por los proveedores pueden no ser suficientes para garantizar el cumplimiento de la legislación aplicable.
63.63.
In the absence of contractual commitments and statutory obligations on the provider to maintain confidentiality, the customer may have full responsibility for keeping data confidential (e.g., through encryption).En caso de que ni la ley ni el contrato impongan al proveedor un deber de confidencialidad, la responsabilidad de proteger (por ejemplo, mediante cifrado) el carácter reservado de los datos puede recaer íntegramente sobre el cliente.
Where it is not possible to negotiate a general confidentiality clause applicable to all customer data placed in the cloud, the parties may agree on confidentiality commitments as regards some sensitive data (with a separate liability regime for breach of confidentiality of such data).Cuando no sea posible negociar una cláusula general de confidencialidad aplicable a todos los datos del cliente alojados en la nube, las partes pueden pactar obligaciones de confidencialidad respecto de algunos datos de carácter delicado (estableciendo un régimen de responsabilidad independiente para el incumplimiento de la obligación de proteger la confidencialidad de dichos datos).
The customer may in particular be concerned about its trade secrets, know-how and information that it is required to keep confidential under law or commitments to third parties.Al cliente pueden preocuparle especialmente sus secretos comerciales, sus conocimientos especializados y la información que deba mantener en secreto por disposición de la ley o en virtud de compromisos asumidos con terceros.
The parties may agree to restrict access to such data to a limited set of personnel and to require individual confidentiality commitments from them, in particular from those with high-risk roles (e.g., system administrators, auditors and persons dealing with intrusion detection reports and incident response).Las partes pueden convenir en restringir el acceso a esos datos a un número limitado de personas y exigir que cada una de ellas asuma individualmente un compromiso de confidencialidad, en especial si desempeñan funciones de alto riesgo (por ejemplo, los administradores del sistema, los auditores y las personas que se ocupan de los informes sobre la detección de intrusos y de responder a incidentes).
In those cases, the customer would normally specify to the provider such information, the required level of protection, any applicable law or contractual requirements and any changes affecting such information, including any changes in the applicable law.En esos casos, normalmente corresponderá al cliente especificar al proveedor la información confidencial, el nivel de protección necesario, las normas legales o los requisitos contractuales que sean aplicables y todos los cambios que afecten a esa información, en particular los que se produzcan en la legislación aplicable.
64.64.
In some cases, the disclosure of customer data may be necessary for the fulfilment of the contract.En algunos casos, puede resultar necesario revelar los datos del cliente para cumplir lo pactado en el contrato.
In other cases, the disclosure may be mandated by law, for example, under the duty to provide information to competent State authorities (see para. 82 below).En otros, la obligación de revelar información puede dimanar de la ley, por ejemplo, cuando en ella se establezca el deber de proporcionar información a los organismos públicos competentes (véase el párr. 82 infra).
Appropriate exceptions to confidentiality clauses would thus be warranted.En tales casos estarían justificadas ciertas excepciones a las cláusulas de confidencialidad.
65.65.
The provider may in turn impose on the customer the obligation not to disclose information about the provider’s security arrangements and other details of services provided to the customer under the contract or law.El proveedor puede a su vez imponer al cliente la obligación de no revelar información sobre las medidas de seguridad del proveedor y otros detalles de los servicios prestados al cliente de conformidad con el contrato o con la ley.
Data protection/privacy policy or data processing agreementProtección de datos, política de privacidad o acuerdo de procesamiento de datos
66.66.
Personal data are subject to special protection by law in many jurisdictions.Los datos personales son objeto de una protección legal especial en muchas jurisdicciones.
Law applicable to personal data processing may be different from the law applicable to the contract.La ley aplicable al procesamiento de datos personales puede ser diferente de la que se aplica al contrato.
It will override any non-compliant contractual clauses.En ese caso, dejará sin efecto las cláusulas contractuales que no se ajusten a ella.
67.67.
The contract may include a data protection or privacy clause, data processing agreement or similar type of agreement, although some providers may agree only to the general obligation to comply with applicable data protection laws.En el contrato puede incluirse una cláusula de protección de datos o de privacidad, un acuerdo de procesamiento de datos u otro acuerdo similar, aunque quizás algunos proveedores solo acepten la obligación general de cumplir la legislación vigente en materia de protección de datos.
In some jurisdictions, such general commitment may be insufficient: the contract would need to stipulate at a minimum the subject matter and the duration, nature and purpose of the personal data processing, the type of personal data and categories of data subjects and the obligations and rights of the data controller and the data processor.En algunas jurisdicciones es posible que no baste con esa obligación general y que sea necesario estipular en el contrato, como mínimo, el objeto, la duración, la naturaleza y la finalidad del procesamiento de datos personales, el tipo de datos personales y las categorías de los sujetos de los datos, así como los derechos y las obligaciones del responsable de los datos y del procesador de los datos.
Where it is not possible to negotiate a data protection clause in the contract, the customer may wish to review standard terms to determine whether the provisions give the customer sufficient guarantees of lawful personal data processing and adequate remedies for damages.Cuando no sea posible negociar la inclusión en el contrato de una cláusula de protección de datos, al cliente tal vez le convenga revisar las condiciones estándar para determinar si le ofrecen garantías suficientes de que los datos personales se procesarán de acuerdo con la ley y si se prevén en ellas mecanismos de reparación adecuados en caso de daños y perjuicios.
68.68.
The customer will likely be the data controller and will assume responsibility for compliance with the data protection law in respect of personal data collected and processed in the cloud.Es probable que el cliente sea el responsable de los datos y que asuma la obligación de cumplir las leyes sobre protección de datos en lo que respecta a los datos personales recopilados y procesados en la nube.
The parties may agree on contractual clauses aimed at ensuring compliance with the applicable data protection regulations, including requests related to the data subjects’ rights.Las partes pueden acordar cláusulas contractuales destinadas a garantizar el cumplimiento de la normativa aplicable en materia de protección de datos, en particular las disposiciones relativas a las solicitudes relacionadas con los derechos de los sujetos de los datos.
The parties may also agree on separate remedies should those clauses be breached, including unilateral termination of the contract and compensation for damages.También pueden estipular otras medidas específicas para el caso de que se incumplan esas cláusulas, como la posibilidad de poner fin al contrato de manera unilateral o reclamar una indemnización por daños y perjuicios.
69.69.
Providers’ standard contracts usually stipulate that the provider does not assume any data controller role.En los contratos estándar de los proveedores suele estipularse que estos no asumen la función de responsable de los datos.
The provider will likely act as the data processor only when it processes the customer’s data according to instructions of the customer for the sole purpose of providing the cloud computing services.Es probable que solo actúen como procesadores de los datos del cliente cuando los procesen siguiendo las instrucciones de este con el único fin de prestar los servicios de computación en la nube.
In some jurisdictions, the provider may, however, be regarded as the data controller, regardless of contractual clauses, when it further processes data for its own purposes or upon instructions of State authorities and could thus assume full responsibility for personal data protection in respect of that further personal data processing (see para. 125 below).No obstante, y con independencia de lo pactado en el contrato, es posible que en algunas jurisdicciones se considere también que el proveedor es el responsable de los datos cuando los procese además para sus propios fines o siguiendo instrucciones de organismos del Estado, en cuyo caso podría tener que asumir la plena responsabilidad de la protección de los datos personales que fueran objeto de ese procesamiento adicional (véase el párr. 125 infra).
Obligations arising from data breaches and other security incidentsObligaciones derivadas de la violación de datos y otros incidentes de seguridad
70.70.
The parties may be required under law or contract (or both) to notify each other immediately of a security incident of relevance to the contract or any suspicion thereof that becomes known to them.Es posible que en la ley o el contrato, o en ambos, se establezca que cuando una de las partes se entere o tenga la sospecha de que se ha producido un incidente de seguridad importante para el contrato, esa parte estará obligada a notificar inmediatamente a la otra dicha circunstancia.
That obligation may be in addition to general notification of a security incident that may be required under law to inform all relevant stakeholders (including data subjects, insurers and State authorities, or the public at large) in order to prevent or minimize the impact of security incidents.Esa obligación puede existir además del deber general de notificación de los incidentes de seguridad que pueda estar establecido en la ley y que exija informar a todas las partes interesadas (incluidos los sujetos de los datos, las compañías de seguros, los organismos del Estado o el público en general) a fin de evitar o reducir al mínimo los efectos de esos incidentes.
71.71.
The law may contain specific security incident notification requirements, including the timing of notification, and identify the persons responsible for complying with them.Es posible que en la ley se establezcan requisitos específicos con respecto a la notificación de los incidentes de seguridad, en particular el momento en que debe realizarse esa notificación, y que se indiquen las personas responsables de que se cumplan dichos requisitos.
Subject to those mandatory provisions, the parties may specify in the contract the notification period (e.g., one day after the party becomes aware of the incident or threat), the form and content of the security incident notification.Siempre y cuando se atengan a esas normas imperativas, las partes pueden especificar en el contrato el plazo en que deberá realizarse la notificación (por ejemplo, un día después de que la parte haya tenido conocimiento del incidente o la amenaza), así como la forma y el contenido que esta deberá tener.
The latter usually includes circumstances and the cause of the incident, type of affected data, the steps to be taken to resolve the incident, the time at which the incident is expected to be resolved and any contingency plan to employ while the incident is being resolved.En cuanto al contenido de la notificación, generalmente abarca las circunstancias y la causa del incidente, el tipo de datos afectados, las medidas que se prevé adoptar para resolver el incidente, el plazo en que se espera resolverlo y los planes de emergencia que se han de emplear mientras se resuelve.
It may also include information on failed breaches, attacks against specific targets (per customer user, per specific application, per specific physical machine), trends and statistics.También puede incluirse en la notificación información sobre intentos fallidos de quebrantar la seguridad, ataques contra objetivos concretos (desglosados por usuario del cliente, aplicación específica o máquina física concreta), tendencias y estadísticas.
Any notification requirements normally take into account the need not to disclose any sensitive information that could lead to the compromise of the affected party’s system, operations or network.Al establecer los requisitos de notificación se suele tener en cuenta la necesidad de no revelar información delicada que pueda poner en peligro los sistemas, la red o las operaciones de la parte afectada.
72.72.
The provider, the customer, or both, including by involving a third party, may be required by law or contract to take measures after a security incident (so-called “post-incident steps”), including the isolation or quarantine of affected areas, the performance of root cause analysis and the production of an incident analysis report.La ley o el contrato pueden exigir que el proveedor, el cliente o ambos, por sí mismos o con la participación de un tercero, adopten medidas después de un incidente de seguridad (denominadas “medidas posteriores al incidente”), entre ellas el aislamiento o la puesta en cuarentena de las zonas afectadas, la realización de análisis de las causas profundas del incidente y la elaboración de un informe de análisis del incidente.
The incident analysis report may be produced by the affected party or by the affected party jointly with the other party or by an independent third party.Este informe puede ser realizado por la parte afectada, o por esta junto con la otra parte, o por un tercero independiente.
Post-incident steps may vary depending on the categories of data stored in the cloud and other factors.Las medidas posteriores al incidente pueden variar en función de las categorías de datos almacenados en la nube y otros factores.
73.73.
A serious security incident resulting in, for example, a loss of data may lead to the termination of the contract.Un incidente de seguridad grave que tuviera como consecuencia, por ejemplo, la pérdida de datos podría dar lugar a la resolución del contrato.
Data localization requirementsRequisitos de ubicación de los datos
74.74.
Providers’ standard terms may expressly reserve the right of the provider to store customer data in any country in which the provider or its subcontractors operate.En sus condiciones estándar, el proveedor puede reservarse expresamente el derecho de alojar los datos del cliente en cualquier país en que operen él o sus subcontratistas.
Such a practice will most likely be followed even in the absence of an explicit contractual right, since it is implicit in the provision of cloud computing services that they are provided, as a general rule, from more than one location (e.g., backup and antivirus protection may be remote, and support may be provided in a global “follow-the-sun” model).Es muy probable que se siga dicha práctica incluso cuando no se haya establecido expresamente ese derecho en el contrato, ya que en la prestación de los servicios de computación en la nube está implícito el hecho de que, por regla general, esos servicios se suministran desde más de un lugar (por ejemplo, las copias de seguridad y la protección antivirus pueden hacerse a distancia y el servicio de apoyo al cliente puede ofrecerse siguiendo el modelo de aprovechamiento de los husos horarios).
That practice may not comply with data localization requirements applicable to either or both parties (see part one, paras. 10–11).Es posible que esa práctica no se ajuste a los requisitos de ubicación de los datos aplicables a una de las partes o a ambas (véase la primera parte, párrs. 10 y 11).
75.75.
Safeguards ensuring compliance with data localization requirements may be included in the contract, such as a prohibition on moving data and other content outside the specified location or a requirement of prior approval of such moves by the other party.En el contrato pueden incluirse medidas de salvaguardia destinadas a garantizar el cumplimiento de los requisitos de ubicación de los datos, como la prohibición de trasladar datos y otros contenidos fuera del lugar especificado o la obligación de obtener una autorización previa de la otra parte para hacerlo.
For example, an SLA qualitative performance parameter may be included to ensure that the customer data (including any copy, metadata and backup thereof) would be stored exclusively in data centres physically located in the jurisdictions indicated in the contract and owned and operated by entities established in those jurisdictions.Por ejemplo, se puede incluir un parámetro cualitativo en un SLA para garantizar que los datos del cliente (incluidas todas sus copias, metadatos y copias de seguridad) se almacenen exclusivamente en centros de datos ubicados físicamente en las jurisdicciones indicadas en el contrato y cuya propiedad y administración correspondan a entidades establecidas en dichas jurisdicciones.
Alternatively, the parameter may specify, for example, that data should never be moved outside a specific country or region but may be duplicated in a particular third country or elsewhere, but never in a specific country.Como alternativa a lo anterior, se podría utilizar ese parámetro, por ejemplo, para prohibir que los datos se trasladaran fuera de un país o región en particular y a la vez permitir que se duplicaran en un país determinado o en cualquier otro lugar, salvo en un país en concreto.
D.D.
Rights to customer data and other contentDerechos en relación con los datos y otros contenidos del cliente
Provider rights to customer data for the provision of servicesDerechos del proveedor en relación con los datos del cliente a efectos de la prestación de los servicios
76.76.
Providers usually reserve the right to access customer data on a “need-to-know” basis.Los proveedores suelen reservarse el derecho de acceder a los datos del cliente siempre y cuando “necesiten conocerlos”.
That arrangement would allow access to customer data by the provider’s employees, subcontractors and other third parties (e.g., auditors) where necessary for the provision of the cloud computing services (including maintenance, support and security purposes) and for monitoring compliance with applicable AUP, IP licences, SLA and other contractual documents.Normalmente, esto permite que los empleados del proveedor, los subcontratistas y otros terceros (por ejemplo, los auditores) tengan acceso a los datos del cliente cuando sea necesario para prestar los servicios de computación en la nube (con fines de mantenimiento, apoyo y seguridad, entre otros) y supervisar el cumplimiento de lo establecido en la PUA, las licencias de PI, el SLA y otros documentos contractuales.
The parties may agree on circumstances when the provider’s access to customer data would be allowed and measures that would ensure confidentiality and integrity of customer data.Las partes pueden pactar en qué casos se permitirá el acceso del proveedor a los datos del cliente y qué medidas se adoptarán para garantizar la confidencialidad y la integridad de dichos datos.
77.77.
Certain rights to access customer data can be considered to be implicitly granted by the customer to the provider by requiring a certain service or feature: without those rights, the provider would not be able to perform the services.Puede considerarse que, cuando el cliente solicita al proveedor un determinado servicio o funcionalidad, concede implícitamente a este último ciertos derechos para acceder a sus datos, sin los cuales el proveedor no podría prestar tales servicios.
For example, if the provider is required to regularly back up customer data, the fulfilment of that task necessitates the right to copy the data.Por ejemplo, si el proveedor está obligado a realizar periódicamente copias de seguridad de los datos del cliente, deberá tener derecho a hacer copias de los datos para poder llevar a cabo esa tarea.
Likewise, if subcontractors are to handle customer data, the provider must be able to transfer the data to them.Del mismo modo, si los subcontratistas han de manipular los datos del cliente, el proveedor debe tener la posibilidad de transferírselos.
78.78.
The contract may explicitly indicate which are the rights concerning data required for the performance of the contract that the customer grants to the provider, whether and to what extent the provider is entitled to transfer those rights to third parties (e.g., its subcontractors) and the geographical and temporal extent of the granted or implied rights.En el contrato puede indicarse expresamente cuáles son los derechos relacionados con los datos que el cliente otorga al proveedor y que son necesarios para el cumplimiento del contrato; si el proveedor está autorizado a ceder esos derechos a terceros (por ejemplo, a sus subcontratistas) y, si lo estuviera, en qué medida puede hacerlo; y a qué espacio geográfico y de tiempo se circunscriben los derechos concedidos expresa o implícitamente.
The geographical limitations could be particularly important when data cannot leave a certain country or region under law (see part one, paras. 10–11).Las limitaciones geográficas pueden ser especialmente importantes cuando la ley prohíbe que los datos salgan de un determinado país o región (véase la primera parte, párrs. 10 y 11).
Contracts typically state whether the customer is able to revoke granted or implied rights and if so, under what conditions.En los contratos suele indicarse si el cliente tiene la facultad de revocar los derechos otorgados expresa o implícitamente y, si así fuera, en qué condiciones puede hacerlo.
Since the ability to provide the services at the required level of quality may depend on the rights granted by the customer, the direct impact of revocation of certain rights could be the amendment or termination of the contract.Dado que la capacidad de prestar los servicios con el nivel de calidad exigido puede depender de los derechos que otorgue el cliente, la revocación de algunos de ellos podría tener como consecuencia directa la modificación o resolución del contrato.
Provider use of customer data for other purposesUtilización por el proveedor de los datos del cliente con otros fines
79.79.
Most jurisdictions do not grant the provider automatic rights to use the customer data for the provider’s own purposes.En la mayoría de las jurisdicciones no se concede automáticamente al proveedor el derecho a utilizar los datos del cliente para sus propios fines.
The provider may request use of customer data for purposes other than those linked to the provision of the cloud computing services under the contract (e.g., for advertising, generating statistics, analytical or predictions reports, engaging in other data mining practice).El proveedor puede solicitar permiso para utilizar los datos del cliente con fines distintos de los relacionados con la prestación de los servicios de computación en la nube previstos en el contrato (por ejemplo, con fines publicitarios o para generar estadísticas, elaborar informes analíticos o de predicciones, participar en otras prácticas de extracción de datos, etc.).
The questions to consider in that context may include: (a) which information about the customer and its end users will be collected and the reasons for and purposes of its collection and use by the provider;En ese contexto, cabría plantearse las preguntas siguientes, entre otras: a) qué información se recopilará sobre el cliente y sus usuarios finales y por qué motivos, y con qué fines la recopilará y utilizará el proveedor;
(b) whether that information will be shared with other organizations, companies or individuals and if so, the reasons for doing so and whether this will be done with or without the customer’s consent;b) si esa información se va a comunicar a otras organizaciones, empresas o particulares y, de ser así, por qué razón se comunicará y si ello se hará con el consentimiento del cliente o sin él;
and (c) how compliance with confidentiality and security policies will be ensured if the provider shares that information with third parties.y c) de qué manera se va a garantizar el cumplimiento de las políticas de confidencialidad y seguridad si el proveedor transmite esa información con terceros.
Where the provider’s use of customer data will affect personal data, the parties would normally be expected to carefully assess their regulatory compliance obligations under applicable data protection laws.Cuando el uso que hace el proveedor de los datos del cliente afecta a datos personales, lo más probable es que las partes evalúen cuidadosamente sus respectivas obligaciones de cumplir lo dispuesto en las leyes aplicables en materia de protección de datos.
80.80.
Where the contract gives the provider rights to use the customer data for the provider’s own purposes, the contract may also list permissible grounds for such use, include obligations regarding de-identification and anonymization of customer data to ensure compliance with any applicable data protection and other regulations and impose limits on reproduction of content and communication to public.En los contratos en que se otorga al proveedor el derecho a utilizar los datos del cliente para sus propios fines, es posible que también se enumeren los motivos por los que se permitirá dicho uso, se establezca la obligación de anonimizar los datos del cliente y ocultar su identidad a fin de garantizar el cumplimiento de la normativa aplicable en materia de protección de datos y otras normas, y se impongan límites a la reproducción del contenido y a su comunicación al público.
It is common to permit the provider to use customer data for its own purposes only as anonymized open data or in aggregated and de-identified form during the term of the contract or beyond.Es una práctica común permitir que el proveedor utilice los datos del cliente para sus propios fines durante el plazo de vigencia del contrato o tras su extinción, pero solo en forma de datos abiertos anonimizados o como información agregada que no revele la identidad del cliente.
Provider use of customer name, logo and trademarkUtilización por el proveedor del nombre, el logotipo y la marca del cliente
81.81.
The providers’ standard terms may grant the provider the right to use customer names, logos and trademarks for the purposes of the provider’s publicity.En las condiciones estándar de los proveedores es posible que se conceda a estos el derecho a utilizar en su propia publicidad los nombres, logotipos y marcas del cliente.
The parties may agree on the deletion or modification of such provisions, including limiting the permissible use to the customer’s name and requiring prior approval of the customer for the use of its name, logo and trademark.Las partes pueden convenir en suprimir o modificar esas disposiciones, por ejemplo, limitando el uso que se puede hacer del nombre del cliente y exigiendo que se obtenga la autorización previa de este para poder utilizar su nombre, logotipo y marca.
Provider actions as regards customer data upon State orders or for regulatory complianceMedidas adoptadas por el proveedor con respecto a los datos del cliente en cumplimiento de una orden del Estado o de la normativa vigente
82.82.
The providers’ standard terms may reserve the right for the provider, at its discretion, to disclose, or provide access to, customer data to State authorities (e.g., by including such wording as “when doing so will be in the best interests of the provider”).En sus condiciones estándar, el proveedor puede reservarse la facultad discrecional de revelar los datos del cliente o dar acceso a dichos datos a organismos públicos (incluyendo, por ejemplo, una mención como la siguiente: “cuando hacerlo sea en el interés superior del proveedor”).
They also usually provide for the right of the provider to remove or block customer data immediately after the provider gains knowledge or becomes aware of illegal content or when it has to enforce the right of data subjects to be forgotten, in order to avoid liability under law (the “notice and take down” procedure (see para. 128 below)).En las condiciones estándar del proveedor también se suele otorgar a este el derecho a retirar o bloquear los datos del cliente inmediatamente después de que tome conocimiento o se entere de la existencia de contenido ilícito en dichos datos, o cuando tenga que hacer respetar el derecho al olvido de los sujetos de los datos, a fin de no incurrir en responsabilidad legal (con arreglo al procedimiento de “notificación y retirada” (véase el párr. 128 infra)).
The parties may agree to narrow down the circumstances in which the provider can perform those actions, for example when the provider faces an order from a court or other State authority to provide access to, or to delete or change, data.Las partes pueden convenir en restringir los casos en que el proveedor podrá actuar de ese modo, por ejemplo, cuando un tribunal u otro órgano del Estado le ordene facilitar el acceso a los datos, suprimirlos o modificarlos.
83.83.
The parties may agree, at a minimum, that the customer will be notified without delay of State orders or the provider’s own decisions as regards customer data with a description of the data concerned, unless such notification would violate law.Las partes pueden acordar, como mínimo, que se notifiquen sin demora al cliente las órdenes del Estado o las propias decisiones del proveedor con respecto a los datos del cliente, y que se incluya en la notificación una descripción de los datos de que se trate, a menos que dicha notificación sea contraria a la ley.
Where the advance notification and involvement of the customer is not possible, the contract may require the provider to serve an immediate ex-post notification to the customer of the same information.Cuando no sea posible realizar la notificación ni dar intervención al cliente por adelantado, se puede establecer en el contrato la obligación de que el proveedor notifique esa misma información al cliente inmediatamente después.
The parties may also agree on provisions as regards keeping and providing customer access to and logs of all orders, requests and other activities as regards customer data.Las partes también pueden convenir en incluir cláusulas que obliguen a llevar un registro de todas las órdenes, solicitudes y demás actividades relacionadas con los datos del cliente, y a conceder a este último acceso a ese registro.
Rights to cloud service-derived dataDerechos en relación con los datos obtenidos de los servicios de nube
84.84.
The parties may agree on customer rights to cloud service-derived data and how such rights can be exercised during the contractual relationship and upon termination of the contract.Las partes pueden estipular los derechos que tendrá el cliente en relación con los datos obtenidos de los servicios de nube y la forma en que podrán ejercerse esos derechos durante el período de vigencia de la relación contractual y tras la extinción del contrato.
IP rights protection clauseCláusula de protección de los derechos de PI
85.85.
Some types of cloud computing contracts may result in the creation of objects of IP rights, either jointly by the provider and the customer (e.g., service improvements arising from the customer’s suggestions) or by the customer alone (new applications, software and other original work).Algunos tipos de contratos de computación en la nube pueden dar origen a objetos de derechos de PI, ya sea como resultado de la acción conjunta del proveedor y el cliente (por ejemplo, mejoras en los servicios derivadas de sugerencias del cliente) o solo del cliente (nuevas aplicaciones, programas informáticos y otras obras originales).
The contract may contain an express IP clause that will determine which party to the contract owns IP rights to various objects deployed or developed in the cloud and the use that the parties can make of such rights.En el contrato puede incluirse una cláusula expresa sobre PI que determine a cuál de las partes en el contrato pertenecen los derechos de PI sobre diversos objetos desplegados o desarrollados en la nube, y cómo pueden las partes ejercer esos derechos.
Where no option to negotiate exists, the customer may wish to review any IP clauses to determine whether the provider offers sufficient guarantees and allows the customer appropriate tools to protect and enjoy its IP rights and avoid lock-in risks (see part one, paras. 23–26).Cuando no exista la posibilidad de negociar este aspecto, el cliente tal vez desee revisar las cláusulas de PI a fin de determinar si el proveedor le ofrece garantías suficientes y pone a su disposición los mecanismos necesarios para proteger y ejercer sus derechos de PI y evitar los riesgos de dependencia (véase la primera parte, párrs. 23 a 26).
Interoperability and portabilityInteroperabilidad y portabilidad
86.86.
There may be no statutory requirements to ensure interoperability and portability.Es posible que no exista ninguna obligación legal de garantizar la interoperabilidad y la portabilidad.
The onus might be completely on the customer to create compatible export routines, unless the contract provides otherwise, for example, by including contractual commitments as regards interoperability and portability and assistance with the export of data upon termination of the contract (see para. 161 below).La carga de crear procedimientos compatibles de exportación de datos puede recaer íntegramente sobre el cliente a menos que en el contrato se prevea otra cosa, por ejemplo, que se asuman obligaciones con respecto a la interoperabilidad y la portabilidad y que se preste asistencia para exportar los datos en el momento en que se extinga el contrato (véase el párr. 161 infra).
The contract may require the use of common, widely used standardized or interoperable export formats for data and other content or provide choice among available formats.En el contrato se puede exigir que, para la exportación de datos y otros contenidos, se utilicen formatos interoperables o estandarizados que sean comunes y ampliamente utilizados, o permitir que se elija entre los formatos de exportación disponibles.
Contractual clauses may also be included to address rights to joint products and applications or software, without which the use of the data and other content in another system may be impossible (see para. 85 above).También pueden incluirse en el contrato cláusulas que regulen los derechos relativos a los productos y aplicaciones o programas informáticos de propiedad conjunta, sin los cuales podría resultar imposible utilizar los datos y demás contenidos en otro sistema (véase el párr. 85 supra).
Data retrieval for legal purposesRecuperación de datos con una finalidad jurídica
87.87.
Customers may need to be able to search and find data placed in the cloud in its original form in order to meet legal requirements (for example, in investigations). The electronic records may need to meet auditing and evidentiary standards.Es posible que los clientes necesiten buscar y encontrar datos alojados en la nube en su forma original para cumplir determinadas obligaciones legales (por ejemplo, en el marco de una investigación), y que los registros electrónicos tengan que ajustarse a las normas de auditoría y los requisitos exigidos en materia de prueba.
Some providers may be in a position to offer customers assistance with the retrieval of data in the format required by law.Algunos proveedores quizás estén en condiciones de prestar asistencia a los clientes para recuperar los datos en el formato exigido por la ley.
The contract may define the form and terms of such assistance.En el contrato puede establecerse la forma y las condiciones en que se prestará dicha asistencia.
Data deletionEliminación de datos
88.88.
Data deletion considerations may be applicable during the term of the contract, but particularly upon its termination (see para. 162 below).La eliminación de datos es una cuestión que puede plantearse durante todo el período de vigencia del contrato, aunque muy especialmente en el momento de su extinción (véase el párr. 162 infra).
For example, certain data may need to be deleted according to the customer’s retention plan.Por ejemplo, es posible que determinados datos deban eliminarse siguiendo el plan de conservación del cliente.
Sensitive data may need to be destroyed at a specified time in its lifecycle (e.g., the destruction of hard disks at the end of the life of equipment on which such data was stored).Puede ser necesario destruir datos de carácter delicado en un momento determinado de su ciclo de vida (por ejemplo, mediante la destrucción de los discos duros al finalizar la vida útil del equipo en que se almacenaron dichos datos).
Data may also need to be deleted in order to comply with law enforcement deletion requests or after confirmed IP infringement cases (see para. 82 above).También puede ser necesario eliminar datos a solicitud de un organismo encargado de hacer cumplir la ley o cuando se confirme que se han vulnerado derechos de PI (véase el párr. 82 supra).
89.89.
The providers’ standard terms may contain only statements to delete customer data from time to time.Es posible que en las condiciones estándar del proveedor se establezca únicamente que los datos del cliente se eliminarán cada cierto tiempo.
The parties may agree on the deletion of data, its backups and metadata immediately, effectively, irrevocably and permanently, in compliance with the data retention and disposition schedules or other form of authorization or request communicated by the customer to the provider.Las partes pueden convenir en que los datos, sus copias de seguridad y los metadatos se eliminen de manera inmediata, eficaz, irrevocable y permanente, de conformidad con el calendario de conservación y eliminación de datos u otras autorizaciones o solicitudes que el cliente comunique al proveedor.
The contract may address the time period and other conditions for data deletion, including obligations as regards a confirmation of the data deletion upon its completion and access to audit trails of the deletion activities.En el contrato se puede establecer el plazo y otras condiciones relativas a la eliminación de datos, como la obligación de confirmar la eliminación una vez realizada y facilitar el acceso a los registros de auditoría de las actividades de eliminación de datos.
90.90.
Particular standards or techniques for deletion may be specified, depending on the nature and sensitivity of the data.También es posible que, en función de la naturaleza y el grado de confidencialidad de los datos, se convenga en aplicar determinadas normas o técnicas de eliminación.
The provider may be required to delete data from different locations and media, including from subcontractors’ and other third-parties’ systems, with different levels of deletion, such as data sanitization ensuring confidentiality of the data until their complete deletion or hardware destruction.Quizás se exija al proveedor que elimine los datos almacenados en distintos lugares y soportes, entre ellos los sistemas de los subcontratistas y otros terceros, y que la eliminación se haga en diverso grado, desde una supresión de los datos que asegure su confidencialidad, hasta su completa eliminación o la destrucción del equipo físico en que están almacenados.
More secure deletion involving destruction rather than redeployment of equipment may be more expensive and may not always be possible (if, for example, data of other persons is stored on the same hardware).Los procedimientos de eliminación que conllevan la destrucción del equipo en lugar de su redistribución son más seguros, pero pueden resultar más costosos y no siempre es posible llevarlos a cabo (por ejemplo, cuando existen datos de otras personas almacenados en el mismo equipo físico).
Those aspects may trigger the inclusion of contractual requirements to use an isolated infrastructure for storing the customer’s particularly sensitive data.Estos aspectos pueden dar lugar a que se pacte en el contrato la obligación de utilizar una infraestructura aislada para almacenar los datos especialmente delicados del cliente.
E.E.
Audits and monitoringAuditorías y supervisión
Monitoring activitiesActividades de supervisión
91.91.
The parties may need to monitor activities of each other to ensure regulatory and contractual compliance (e.g., compliance of the customer and its end users with AUP and IP licenses and compliance of the provider with SLA and data protection policy).Es posible que las partes necesiten supervisar mutuamente sus actividades para asegurarse de que se cumpla lo estipulado en el contrato y se respete la normativa aplicable (por ejemplo, que el cliente y sus usuarios finales respeten la PUA y las licencias de PI y que el proveedor actúe de conformidad con el SLA y la política de protección de datos).
Some monitoring activities, such as those related to personal data processing, may be mandated by law.Algunas actividades de supervisión, como las relacionadas con el procesamiento de datos personales, pueden ser obligatorias por disposición de la ley.
92.92.
The contract may identify periodic or recurrent monitoring activities, together with the party responsible for their performance and the obligations of the other party to facilitate monitoring.Es posible que en el contrato se especifiquen las actividades de supervisión periódicas o recurrentes que se llevarán a cabo y la parte que se encargará de su ejecución, imponiéndose a la otra parte la obligación de facilitar dicha supervisión.
The contract may also anticipate any exceptional monitoring activities and provide options for handling them.Quizás en el contrato también se prevea la posibilidad de realizar actividades de supervisión con carácter excepcional y se contemplen diversas formas de llevarlas a cabo.
The contract may also provide for reporting requirements to the other party as well as any confidential undertakings in conjunction with such monitoring activities.En el contrato se puede establecer asimismo el deber de notificar a la otra parte y las obligaciones de confidencialidad que se asumirán en relación con esas actividades de supervisión.
93.93.
Excessive monitoring may affect performance and increase costs of services.Una supervisión excesiva puede afectar a la cantidad o la calidad de los servicios y aumentar el costo de estos.
The contract may provide for the requirement to suspend monitoring in certain circumstances, e.g., where monitoring is materially detrimental to the service performance.En el contrato se puede pactar la obligación de suspender la supervisión en determinados casos, por ejemplo, cuando esta tenga efectos negativos graves en la cantidad o la calidad de los servicios.
That concern may be present particularly in case of services requiring near real-time performance.Esta preocupación puede plantearse principalmente en el caso de los servicios que deben prestarse casi en tiempo real.
Audit and security testsAuditorías y pruebas de seguridad
94.94.
Audit and security tests, in particular to check the effectiveness of security measures, are common.Es común que se practiquen auditorías y pruebas de seguridad, especialmente para comprobar la eficacia de las medidas de seguridad.
Some audits and security tests may be mandated by law.En algunos casos deben realizarse por disposición de la ley.
The contract may include clauses that address the audit rights of both parties, the scope of audits, recurrence, formalities and costs.El contrato puede contener cláusulas en las que se definan los derechos de ambas partes en materia de auditoría y se establezca el alcance, la frecuencia, las formalidades y el costo de las auditorías.
It may also oblige the parties to share with each other the results of the audits or security tests that they commission.También es posible que el contrato imponga a las partes la obligación de comunicarse mutuamente los resultados de las auditorías o las pruebas de seguridad encargadas por cada una de ellas.
The contractual rights or statutory obligations for audit and security tests may be complemented in the contract with corresponding obligations of the other party to facilitate the exercise of such rights or fulfilment of those obligations (e.g., to grant access to the relevant data centres).Los derechos contractuales o las obligaciones legales de una parte en materia de auditorías y pruebas de seguridad pueden complementarse en el contrato, imponiendo a la otra parte la correspondiente obligación de facilitar el ejercicio de esos derechos o el cumplimiento de esas obligaciones (por ejemplo, permitiéndole que acceda a los centros de datos pertinentes).
95.95.
Parties may agree that audits or security tests may be performed only by professional organizations or that the provider or the customer may choose to have the audit or security test performed by a professional organization.Las partes pueden convenir en que las auditorías o las pruebas de seguridad solo sean realizadas por organizaciones profesionales, o en que el proveedor o el cliente puedan optar por encomendar la tarea a una organización profesional.
The contract may specify qualifications to be met by the third party and conditions for their engagement, including allocation of costs.En el contrato se pueden especificar los requisitos que deben reunir esos terceros y las condiciones exigidas para su participación, en particular en lo que respecta a la distribución de los gastos.
Special arrangements may be agreed upon by the parties for audits or security tests subsequent to an incident and depending on the severity and type of the incident (for example, the party responsible for the incident may be obliged to partially or fully reimburse costs).Las partes pueden estipular medidas especiales para que se realicen auditorías o pruebas de seguridad cada vez que se produzca un incidente, dependiendo de la gravedad y la naturaleza de este (por ejemplo, puede obligarse a la parte responsable del incidente a reembolsar la totalidad o parte de los gastos).
F.F.
Payment termsCondiciones de pago
Pay-as-you-goPago por uso
96.96.
Price is an essential contractual term, and failure to include the price or a mechanism for determining the price in the contract may render the contract unenforceable.Dado que el precio es un elemento esencial del contrato, puede resultar imposible obtener la ejecución de un contrato en el que se haya omitido el precio o un mecanismo que permita determinarlo.
97.97.
The on-demand self-service characteristic of cloud computing services is usually reflected in the pay-as-you-go billing system.Una característica de los servicios de computación en la nube es la de ser autoservicios a pedido, por lo que su sistema de facturación suele ser del tipo “pago por uso” (pay-as-you-go).
It is common for the contract to specify the price per unit for the agreed volume of supply of the cloud computing services (e.g., for a specified number of users, number of uses or time used).Es habitual que en el contrato se especifique el precio unitario correspondiente al volumen acordado de los servicios de computación en la nube que se prestarán (por ejemplo, el precio correspondiente al número de usuarios, al número de usos o al tiempo de utilización especificados).
Price scales or other price adjustments, including volume discounts, may be designed as incentives or penalties for either of the parties.Se pueden establecer escalas de precios u otros ajustes en el precio, en particular descuentos por volumen, como incentivos o sanciones para cualquiera de las partes.
Free trials are common. It is also common not to charge for some services.También es común que se ofrezcan servicios a título gratuito durante un período de prueba, o que no se cobre por algunos servicios.
Although there could be many variations for price calculation, a clear and transparent price clause, understood by both parties, may avoid conflict and litigation.Aunque puede haber muchas variaciones en el cálculo del precio, la inclusión de una cláusula de precio clara y transparente que ambas partes entiendan puede evitar conflictos y pleitos en el futuro.
Licensing feesDerechos de licencia
98.98.
The parties may wish to clarify in the contract whether the payment for the cloud computing services encompasses licensing fees for any licences the provider may grant to the customer as part of the services.Es posible que las partes deseen aclarar en el contrato si el importe que se pagará por los servicios de computación en la nube incluye los derechos correspondientes a las licencias que el proveedor pueda conceder al cliente como parte de los servicios.
SaaS, in particular, often involves the use by the customer of software licensed by the provider.Los servicios SaaS, en especial, suelen conllevar la utilización por parte del cliente de programas informáticos con licencia del proveedor.
99.99.
The licensing fees may be calculated on a per-seat or per instance basis and fees may vary depending on the category of users (e.g., professional users, as opposed to non-professional users, may fall in one of the most expensive categories).Los derechos de licencia pueden calcularse sobre la base del número de usuarios o el número de instancias y su importe puede variar en función de la categoría de usuarios (por ejemplo, los usuarios profesionales pueden ser una de las categorías más caras, a diferencia de los no profesionales).
Different payment structures may have different implications.Las distintas estructuras de pago pueden tener consecuencias diferentes.
For example, a customer’s licence costs may increase exponentially if software is charged on a per instance basis each time a new machine is connected, even though the customer is using the same number of machine instances for the same duration.Por ejemplo, el costo de la licencia de un programa informático para el cliente puede aumentar de manera exponencial si cada vez que se conecte una nueva máquina a ese programa se cobra una instancia, aun cuando el cliente esté utilizando el mismo número de instancias durante el mismo período.
100.100.
The contract may identify the total number of potential users of software covered by the licence arrangement, the number of users in each category (e.g., employees, independent contractors and suppliers) and the rights to be granted to each category of users.El contrato puede establecer el número total de usuarios que podrán utilizar un programa informático amparado por el acuerdo de licencia, el número de usuarios pertenecientes a cada categoría (por ejemplo, empleados, contratistas independientes y proveedores) y los derechos que se concederán a cada una de esas categorías.
The contract may also identify access and use rights that will be included in the scope of the licence and cases of access and use by the customer and its end users that may lead to an expanded scope of the license and consequently to increased licensing fees.También pueden indicarse en el contrato los derechos de acceso y uso que estarán comprendidos en la licencia, así como los casos de acceso y uso por parte del cliente y sus usuarios finales que podrán dar lugar a que se amplíe el alcance de la licencia y a que, por consiguiente, se eleve el importe de los derechos que deberán pagarse por ella.
Additional costsCostos adicionales
101.101.
The price may cover also one-off costs (e.g., configuration and migration to the cloud (see part one, paras. 32–33)).El precio puede abarcar también algunos costos puntuales (por ejemplo, los costos de configuración y migración a la nube; véase la primera parte, párrs. 32 y 33).
There could also be additional services offered by the provider against separate payment (e.g., support after business hours charged per time or provided for a fixed price).Asimismo, es posible que el proveedor ofrezca otros servicios adicionales a cambio de un pago aparte (por ejemplo, servicios de apoyo al cliente fuera del horario comercial, que se cobran por tiempo de utilización o se prestan a cambio de un precio fijo).
102.102.
Cloud computing services may fall within the category of taxable services or goods in some jurisdictions.En algunas jurisdicciones, los servicios de computación en la nube pueden estar comprendidos en la categoría de servicios o bienes imponibles.
The parties may wish to address in the contract the impact of taxes on payment terms.Las partes tal vez deseen prever en el contrato los efectos de los impuestos en las condiciones de pago.
Other payment termsOtras condiciones de pago
103.103.
Payment terms may cover invoicing modalities (e.g., e-invoicing) and the form and content of the invoice, which may be important for tax compliance.Las condiciones de pago pueden abarcar las modalidades de facturación (por ejemplo, la facturación electrónica) y la forma y el contenido de las facturas, aspecto que puede resultar importante a los efectos del cumplimiento de las normas tributarias.
Tax authorities of some jurisdictions may not accept electronic invoices (although this is becoming rare in an increasingly paperless environment) or may require a special format, including that any tax applicable to the cloud computing services may need to be stated separately.Es posible que los organismos tributarios de algunas jurisdicciones no acepten facturas electrónicas (aunque esto es cada vez menos frecuente debido a la disminución del uso del papel) o exijan que se utilice un formato especial, por ejemplo, uno que obligue a detallar por separado los impuestos aplicables a los servicios de computación en la nube.
104.104.
The parties may wish to include, among other payment terms, payment due date, currency, the applicable exchange rate, manner of payment, sanctions in case of late payment and procedures for resolving disputes over payment claims.Las partes tal vez deseen incluir en el contrato, entre las condiciones de pago, las fechas de vencimiento, la moneda, el tipo de cambio aplicable, la forma de pago, las sanciones por mora y los procedimientos de solución de las controversias que se planteen en relación con los pagos.
G.G.
Changes in servicesCambios en los servicios
105.105.
Cloud computing services are by nature flexible and fluctuating.Los servicios de computación en la nube son, por naturaleza, flexibles y fluctuantes.
The elasticity, scalability and on-demand self-service characteristics of cloud computing services are usually enabled through many contractual options that the customer may use to adjust the consumption of services according to its needs.La elasticidad, la escalabilidad y el autoservicio a pedido que caracterizan a los servicios de computación en la nube suelen ofrecerse introduciendo en el contrato múltiples opciones que el cliente puede utilizar para adaptar el consumo de los servicios a sus necesidades.
This prevents the need for renegotiation of the contract each time the customer requires a change in the consumption of services.Con ello se logra que no sea necesario volver a negociar el contrato cada vez que el cliente desee cambiar el consumo de los servicios.
106.106.
The provider in turn may reserve the right to adjust its service portfolio at its discretion.Por su parte, el proveedor puede reservarse el derecho a modificar su cartera de servicios a su entera discreción.
Different contractual treatment may be appropriate depending on whether changes concern the core services or ancillary services and support aspects.Quizás sea conveniente tratar esas modificaciones de manera distinta en el contrato, dependiendo de si los cambios se refieren a los servicios principales o a los servicios auxiliares y cuestiones de apoyo.
Different contractual treatment may also apply to changes that might negatively affect services as opposed to changes that lead to service improvements (e.g., a switch from a standard offering to an enhanced cloud computing offering with higher security levels or shorter response times).Quizás también corresponda dar a las modificaciones que pudieran afectar negativamente a los servicios un tratamiento contractual diferente al previsto para las modificaciones que supongan mejoras (por ejemplo, la sustitución de una oferta estándar de servicios de computación en la nube por otra mejorada, con mayores niveles de seguridad o menores tiempos de respuesta).
The consequences of some unilateral changes of the terms and conditions of the contract by the provider may be severe for the customer, in particular translating into high costs of migration to another system.Algunos cambios realizados unilateralmente por el proveedor en las condiciones estipuladas en el contrato pueden tener graves consecuencias para el cliente, especialmente cuando el cambio implica tener que incurrir en gastos elevados de migración a otro sistema.
Changes in priceCambios en el precio
107.107.
The provider may reserve the right to unilaterally modify the price or price scales.El proveedor puede reservarse el derecho a modificar unilateralmente el precio o las escalas de precios de sus servicios.
The parties may agree to specify in the contract the pricing methodology (e.g., how frequently the provider can increase prices and by how much).Las partes pueden convenir en especificar en el contrato la metodología de fijación del precio (por ejemplo, con qué frecuencia y en qué medida el proveedor puede aumentar los precios).
The prices may be capped to a specific consumer price index, to a set percentage or to the provider’s price list at a given moment.Se puede fijar un límite máximo a los precios, que se calculará de acuerdo con un determinado índice de precios al consumo, un porcentaje fijo o el listado de precios del proveedor vigente en un momento dado.
The contract may provide for advance notice of a price increase and the consequences of non-acceptance of the price increase by the customer.En el contrato se puede establecer la obligación de notificar con antelación todo aumento del precio y detallar las consecuencias de que el cliente no acepte ese aumento.
UpgradesActualizaciones
108.108.
Although upgrades may be in the customer’s interests, they may also cause disruptions in the availability of cloud computing services since they could translate into relatively high downtime during normal working hours even if the service is to be provided on a 24/7 basis.Si bien es posible que las actualizaciones sean en interés del cliente, también pueden causar trastornos en lo que respecta a la disponibilidad de los servicios de computación en la nube, ya que pueden conllevar períodos de interrupción relativamente prolongados durante el horario normal de funcionamiento, aun cuando se trate de servicios prestados de forma ininterrumpida.
The parties may agree on advance notification to the customer of pending upgrades and the implications thereof and that upgrades, as a rule, will take place during periods of little or no demand for the customer.Las partes pueden convenir en que se notifique al cliente con antelación las actualizaciones pendientes y sus consecuencias, y en que, como norma general, estas se lleven a cabo durante los períodos en que el cliente tenga poca demanda o ninguna.
The contract may also provide for procedures for reporting and solving possible problems.También pueden establecerse en el contrato los procedimientos que deberán emplearse para comunicar y resolver los eventuales problemas que surjan.
109.109.
Upgrades may have other negative impacts, for example, requiring changes to customer applications or information technology systems or the retraining of customer users.Es posible que las actualizaciones tengan otros efectos negativos, como la necesidad de introducir cambios en las aplicaciones o los sistemas informáticos del cliente o de capacitar nuevamente a los usuarios de este.
The contract may provide for the allocation of the costs arising from upgrades.En el contrato puede preverse la forma de distribuir los gastos derivados de las actualizaciones.
The parties may also agree that the older version of the provided service should be retained in parallel with the new version for an agreed period of time in cases where significant changes are to be made to the previous version, in order to ensure the customer’s business continuity.Las partes pueden acordar asimismo que, cuando se vayan a realizar cambios importantes en la versión anterior, esta se mantenga en paralelo con la nueva versión durante un período convenido, a fin de garantizar la continuidad de las operaciones del cliente.
The contract may also address assistance that may be offered by the provider with changes to customer applications or information technology systems and with retraining of the customer’s end users, when required.También es posible prever en el contrato la asistencia que puede ofrecer el proveedor en relación con los cambios que se introduzcan en las aplicaciones o los sistemas informáticos del cliente y la nueva capacitación que en su caso sea necesario impartir a los usuarios finales del cliente.
Degradation or discontinuation of servicesDegradación o interrupción de los servicios
110.110.
Technological developments, competitive pressure or other causes may lead to the degradation of some cloud computing services or their discontinuation with or without their replacement by other services.Los avances tecnológicos, la presión de la competencia y otras circunstancias pueden llegar a provocar la degradación o la interrupción de algunos servicios de computación en la nube, que podrán ser sustituidos o no por otros servicios.
The provider may reserve in the contract the right to adjust the service portfolio offering (e.g., by terminating a portion of the services).El proveedor puede reservarse en el contrato el derecho a modificar su oferta de servicios (por ejemplo, cancelando una parte de ellos).
Discontinuation of even some cloud computing services by the provider may, however, expose the customer to liability to its end users.Sin embargo, incluso la interrupción de solo algunos servicios de computación en la nube por parte del proveedor puede hacer que el cliente incurra en responsabilidad frente a sus usuarios finales.
111.111.
The contract may provide for an advance notification of those changes to the customer, the customer’s right to terminate the contract in the case of unacceptable changes and an adequate retention period to ensure the timely reversibility of any affected customer data or other content.En el contrato se puede establecer la obligación de notificar de antemano los cambios al cliente, el derecho de este último a poner fin al contrato si los cambios fueran inaceptables, y un período de conservación suficiente para garantizar la oportuna reversibilidad de los datos u otros contenidos del cliente que hubiesen resultado afectados.
Some contracts prohibit modifications that could negatively affect the nature, scope or quality of provided services, or limit permissible changes to “commercially reasonable modifications”.En algunos contratos se prohíbe hacer modificaciones que puedan tener efectos negativos en la naturaleza, el alcance o la calidad de los servicios prestados, o solo se permite hacer “modificaciones razonables desde el punto de vista comercial”.
Notification of changesNotificación de los cambios
112.112.
The providers’ standard terms may contain an obligation on the provider to notify the customer about changes in the terms of services.En las condiciones estándar de los proveedores puede estar prevista la obligación de estos de notificar al cliente los cambios en las condiciones de los servicios.
If not, customers may be required to check regularly whether there have been any changes in the contract.Si no lo está, es posible que se pida a los clientes que comprueben periódicamente si se han introducido cambios en el contrato.
Documents forming the contract may be numerous (see para. 38 above).Los documentos que integran el contrato pueden ser numerosos (véase el párr. 38 supra).
Some may incorporate by reference terms and policies contained in other documents, which may in turn incorporate by reference additional terms and policies, all of which may be subject to unilateral modification by the provider.Es posible que algunos de ellos incorporen por remisión condiciones y políticas establecidas en otros documentos, los que a su vez quizás incorporen por remisión otras condiciones y políticas, y todas ellas pueden ser modificadas unilateralmente por el proveedor.
Those different documents may not necessarily be hosted in one place on the provider’s website.Esos distintos documentos no tienen que estar alojados necesariamente en un único lugar del sitio web del proveedor.
Changes introduced by the provider to the contract may therefore not be easy to notice.Por lo tanto, quizás no sea fácil detectar los cambios introducidos por el proveedor en el contrato.
113.113.
Since the continued use of services by the customer is deemed to be acceptance of the modified terms, the parties may agree that the customer will be notified of changes in the terms of services sufficiently in advance of their effective date.Dado que la utilización continuada de los servicios por parte del cliente se considera una aceptación de las modificaciones realizadas en las condiciones de los servicios, las partes pueden convenir en que todo cambio que se prevea introducir en esas condiciones se notifique al cliente con suficiente antelación a la fecha de su entrada en vigor.
The parties may also agree that the customer will have access to audit trails concerning the evolution of services and that all agreed terms and the definition of the services by reference to a particular version or release will be preserved.Asimismo, las partes pueden acordar que el cliente tenga acceso a los registros de auditoría relativos a la evolución de los servicios y que se mantengan todas las condiciones pactadas y las definiciones de los servicios correspondientes a una determinada versión o edición.
H.H.
Suspension of servicesSuspensión de los servicios
114.114.
The providers’ standard terms may contain the right of the provider to suspend services, at its discretion, at any time.En las condiciones estándar de los proveedores puede establecerse el derecho de estos a suspender los servicios a su entera discreción en cualquier momento.
“Unforeseeable events” is a common justification for unilateral suspension of services by the provider.Uno de los motivos que se aducen comúnmente para justificar la suspensión unilateral de los servicios por el proveedor es el acaecimiento de “hechos imprevisibles”.
Such events are usually defined as broadly encompassing any impediments beyond the provider’s control, including failures of subcontractors, sub-providers and other third parties involved in the provision of the cloud computing services to the customer, such as Internet network providers.Estos suelen definirse de manera amplia, como todo impedimento ajeno a la voluntad del proveedor, incluido el incumplimiento de los subcontratistas, los proveedores del proveedor y otros terceros que participen en la prestación de los servicios de computación en la nube al cliente, como los proveedores de acceso a Internet.
115.115.
The parties may agree that suspension of services may occur only in limited cases identified in the contract (e.g., in case of fundamental breach of the contract by the customer, for example, non-payment).Las partes pueden convenir en que solo se permita suspender los servicios en unos pocos casos definidos en el contrato (por ejemplo, cuando el cliente incurra en un incumplimiento esencial del contrato, como la falta de pago).
The right of suspension due to unforeseeable events may be conditioned on properly implementing a business continuity and disaster recovery plan.El derecho a suspender los servicios debido a hechos imprevisibles puede estar sometido a la condición de que se ponga debidamente en marcha un plan de continuidad de las operaciones y recuperación en casos de desastre.
The contract may require that such a plan contains protections against common threats to the provision of the cloud computing services and be submitted for comment and approval by the other party.El contrato puede exigir que se incluyan en ese plan medidas de protección frente a los peligros más comunes a que está expuesta la prestación de servicios de computación en la nube y que el plan se someta a la consideración y aprobación de la otra parte.
Those protections may include a geographically separate disaster recovery site with seamless transition and the use of an uninterruptible power supply and backup generators.Algunas de esas medidas de protección podrían consistir en disponer de un sitio de recuperación en casos de desastre ubicado en otro lugar geográfico que permita una transición imperceptible, y en utilizar sistemas de suministro ininterrumpido de energía y generadores de apoyo.
I.I.
Subcontractors, sub-providers and outsourcingSubcontratistas, proveedores del proveedor y externalización
Identification of the subcontracting chainIdentificación de los participantes en la cadena de subcontratación
116.116.
Subcontracting, layered cloud computing services and outsourcing are common in cloud computing environment.La subcontratación, los servicios estratificados de computación en la nube y la externalización son prácticas habituales en el entorno de la computación en la nube.
The providers’ standard terms may explicitly reserve the provider’s right to use third parties for the provision of the cloud computing services to the customer, or that right may be implicit because of the nature of services to be provided.En las condiciones estándar de los proveedores, estos pueden reservarse expresamente el derecho a prestar los servicios de computación en la nube al cliente por conducto de terceros, o ese derecho puede estar implícito debido a la propia naturaleza de los servicios que han de prestarse.
The provider may be interested in retaining as much flexibility as possible in that respect.Al proveedor quizás le interese conservar la mayor flexibilidad posible en ese sentido.
117.117.
The law may require the parties to identify in the contract any third parties involved in the provision of the cloud computing services.Las partes pueden estar obligadas por ley a especificar en el contrato los terceros que participarán en la prestación de los servicios de computación en la nube.
Such identification may also be beneficial to the customer for verification purposes, in particular of compliance of third parties with security, confidentiality, data protection and other requirements arising from the contract or law and of the absence of conflicts of interest on the part of third parties.La identificación de esos terceros también puede ser útil para el cliente a los efectos de verificar cierta información, especialmente porque le permite determinar si esos terceros cumplen los requisitos de seguridad, confidencialidad, protección de datos y otros requisitos establecidos en el contrato o en la ley, y comprobar la inexistencia de conflictos de intereses respecto de esos terceros.
118.118.
That information may also be used for mitigation of risks of non-performance of the contract by the provider due to failures of third parties.Esa información puede utilizarse también para mitigar el riesgo de incumplimiento del contrato por el proveedor debido al incumplimiento de terceros.
For example, the customer may opt to contract directly with third parties instrumental to the performance of the cloud computing contract, in particular on such sensitive issues as confidentiality and personal data processing.Por ejemplo, el cliente puede optar por contratar directamente con los terceros que resultan imprescindibles para la ejecución del contrato de computación en la nube, sobre todo en lo relativo a cuestiones tan delicadas como la confidencialidad y el procesamiento de datos personales.
The customer may also try to negotiate with key third parties obligations to step in if the provider fails to perform under the contract, including in case of the provider’s insolvency.El cliente también puede tratar de negociar con los terceros más importantes para que estos asuman la obligación de intervenir si el proveedor no cumple lo establecido en el contrato, en particular si incurre en insolvencia.
119.119.
The provider may be in a position to identify those third parties playing key roles but not all third parties.Es posible que el proveedor no esté en condiciones de identificar a todos los terceros involucrados, aunque quizás sí a los que desempeñan funciones de importancia clave.
The pool of third parties involved in the provision of cloud computing services may change during the contract (see paras. 120–121 below).La composición del conjunto de terceros que intervienen en la prestación de los servicios de computación en la nube puede variar durante el período de vigencia del contrato (véanse los párrs. 120 y 121 infra).
Changes in the subcontracting chainCambios en la cadena de subcontratación
120.120.
Unilateral changes in the subcontracting chain are common.Es habitual que se produzcan cambios unilaterales en la cadena de subcontratación.
The contract may specify whether changes in the subcontracting chain are permitted and if so, under which conditions (e.g., the customer may reserve the right to vet and veto any new third party involved in the provision of the cloud computing services to the customer before the change is implemented).En el contrato puede especificarse si se permite hacer cambios en la cadena de subcontratación y, de ser así, en qué condiciones pueden realizarse esos cambios (por ejemplo, el cliente puede reservarse el derecho a investigar los antecedentes de cualquier tercero que se prevea incorporar a la prestación de los servicios de computación en la nube y vetarlo antes de que se realice el cambio).
Alternatively, the contract may include the list of third parties pre-approved by the customer, from which the provider can choose when the need arises.Como alternativa a lo anterior, se podría incluir en el contrato una lista de terceros aprobados previamente por el cliente, entre los que el proveedor podrá elegir cuando sea necesario.
Another option is to subject the change to subsequent approval by the customer, in the absence of which services would need to continue with the previous or other pre-approved third party or with another third party to be agreed by the parties.Otra posibilidad sería que el cambio quedara supeditado a la posterior aprobación del cliente y que, si este no aceptase el cambio, los servicios siguieran prestándose con la participación del tercero anterior o con otro tercero aprobado previamente o que las partes designaran de común acuerdo.
Otherwise, the contract may be terminated.De lo contrario, se podría poner fin al contrato.
121.121.
Mandatory applicable law may stipulate circumstances in which changes in a provider’s subcontracting chain may require termination of the contract.Las disposiciones imperativas de la ley aplicable pueden establecer las circunstancias en que los cambios introducidos en la cadena de subcontratación del proveedor podrían hacer necesario resolver el contrato.
Alignment of contract terms with linked contractsArmonización de las condiciones del contrato con las de otros contratos vinculados
122.122.
The law or the contract may require the parties to align the terms of the contract with existing or future linked contracts to ensure confidentiality and compliance with data localization and data protection requirements.Las partes pueden tener la obligación legal o contractual de ajustar las condiciones del contrato a las de otros contratos vigentes o futuros vinculados al primero, a fin de asegurar la confidencialidad y el cumplimiento de los requisitos en materia de protección y ubicación de los datos.
The contract may oblige parties to supply each other with copies of linked contracts for verification purposes.En el contrato puede establecerse la obligación de cada parte de proporcionar a la otra, con fines de verificación, copias de los contratos vinculados.
Liability of subcontractors, sub-providers and other third partiesResponsabilidad de los subcontratistas, los proveedores del proveedor y otros terceros
123.123.
Although third parties instrumental to the performance of the cloud computing contract may be listed in the contract, they would not be parties to the contract between the provider and the customer. They would be liable for obligations under their contracts with the provider.Si bien en el contrato de computación en la nube se puede incluir una lista de los terceros que sean imprescindibles para su ejecución, esos terceros no serán partes en el contrato celebrado entre el cliente y el proveedor y solo responderán de las obligaciones que hayan contraído en virtud de sus contratos con el proveedor.
The creation of third-party beneficiary rights for the benefit of the customer in linked contracts, or making the customer a party to linked contracts, would allow the customer’s direct recourse against the third party in case of that third party’s non-performance under a linked contract.La constitución, en beneficio del cliente, de derechos de terceros beneficiarios en los contratos vinculados, o la incorporación del cliente como parte en dichos contratos vinculados, permitiría al cliente recurrir directamente contra el tercero en caso de que este incurriera en incumplimiento del contrato vinculado.
124.124.
Under applicable law or contract, the provider may be held liable to the customer for any issue within the responsibility of any third party whom the provider involved in the performance of the contract.Con arreglo a lo dispuesto en la ley aplicable o en el contrato, el proveedor puede tener que responder frente al cliente de cualquier cuestión encomendada a un tercero a quien el proveedor haya hecho participar en la ejecución del contrato.
In particular, the joint liability of the provider and its subcontractors may be established by law for any issues arising from personal data processing, depending on the extent of subcontractors’ involvement in processing.La ley puede establecer, en particular, la responsabilidad solidaria del proveedor y sus subcontratistas respecto de las cuestiones que se planteen en relación con el procesamiento de datos personales, según el grado de participación que hayan tenido los subcontratistas en el procesamiento de esos datos.
J.J.
LiabilityResponsabilidad
Statutory limitations to contractual freedomRestricciones legales a la libertad contractual
125.125.
While most legal systems generally recognize the right of contracting parties to allocate risks and liabilities and to limit or exclude liability through contractual provisions, this right is usually subject to various limitations and conditions.Si bien en la mayoría de los ordenamientos jurídicos se reconoce generalmente el derecho de las partes contratantes a distribuir los riesgos y la responsabilidad y a limitar o excluir su responsabilidad mediante la inclusión de cláusulas a esos efectos en el contrato, ese derecho suele estar sujeto a ciertos límites y condiciones.
For example, an important factor in risk and liability allocation in personal data processing is the role that each party assumes as regards personal data placed in the cloud.Por ejemplo, un factor importante que influye en la distribución de los riesgos y la responsabilidad en lo que respecta al procesamiento de datos personales es la función que asume cada parte en relación con los datos personales alojados en la nube.
The data protection law of certain jurisdictions imposes more liability on the data controller than on data processors of personal data.En algunas jurisdicciones, la ley aplicable en materia de protección de datos impone una responsabilidad mayor al responsable de los datos personales que a los procesadores de esos datos.
Notwithstanding contractual provisions, the factual handling of such data will generally determine the legal regime to which the party would be subject under applicable law.Aunque en el contrato se estipule otra cosa, el manejo efectivo de esos datos será lo que normalmente determine el régimen jurídico al que estará sometida una parte con arreglo a la ley aplicable.
Data subjects who have suffered loss resulting from unlawful processing of personal data or any act incompatible with domestic data protection regulations may be entitled to compensation directly from the data controller.Los sujetos de los datos que hayan sufrido pérdidas como consecuencia del procesamiento ilegal de datos personales o de cualquier acto incompatible con las normas nacionales de protección de datos pueden tener derecho a reclamar una indemnización directamente al responsable de los datos.
126.126.
In addition, in many jurisdictions a total exclusion of liability for a person’s own fault is not admissible or is subject to limitations.Además, en muchas jurisdicciones la exención total de la responsabilidad personal derivada de la propia culpa no es admisible o bien está sujeta a ciertos límites.
It might not be possible to exclude altogether liability related to personal injury (including sickness and death) and for gross negligence, intentional harm, defects, breach of core obligations essential for the contract or non-compliance with applicable regulatory requirements.Tal vez no sea posible excluir íntegramente la responsabilidad por lesiones personales (incluidas la enfermedad y la muerte) y por negligencia grave, dolo, vicios, incumplimiento de las obligaciones básicas y esenciales para la ejecución del contrato o incumplimiento de los requisitos reglamentarios aplicables.
Some types of limitation clauses, such as waiver of liability by the provider for security incidents in cases where the customer has no control or ability to effect security, may be found to be “abusive” and therefore invalid.Algunos tipos de cláusulas de limitación de la responsabilidad, como las que eximen de responsabilidad al proveedor por incidentes de seguridad en los casos en que el cliente no tiene el control de las medidas de seguridad ni la capacidad de adoptarlas, pueden considerarse “abusivas” y, por ende, nulas.
The terms of contracts of adhesion, which are typically not negotiated but pre-established by one of the parties, may be subject to particular scrutiny.Las condiciones de los contratos de adhesión, que normalmente no se negocian sino que vienen preestablecidas por una de las partes, pueden tener que someterse a un examen particularmente minucioso.
In addition, unlimited liability may flow from certain types of defects under law (e.g., defective hardware or software).Además, la ley puede prever la responsabilidad ilimitada por determinados tipos de vicios (por ejemplo, defectos en los equipos físicos o los programas informáticos).
127.127.
The ability of public institutions to assume certain liabilities may be restricted by law, or public institutions would need to seek prior approval of a competent State body for doing so.Las instituciones públicas pueden tener limitaciones legales para asumir determinadas responsabilidades, o la obligación de obtener la autorización previa de un órgano estatal competente para hacerlo.
They may also be prohibited from accepting exclusion or limitation of a provider’s liability altogether or for acts or omissions defined in law.También les puede estar prohibido aceptar que se excluya o limite la responsabilidad de un proveedor con carácter general o por las acciones u omisiones definidas en la ley.
128.128.
The applicable law may, on the other hand, provide for exemption from liability if certain criteria are fulfilled by a party that would otherwise face a risk of liability.Por otra parte, la ley aplicable puede permitir que se exima de responsabilidad a una de las partes si esta cumple determinados requisitos que, de no satisfacerse, la expondrían al riesgo de incurrir en responsabilidad.
For example, under the “notice and take down” procedure (see para. 82 above) in some jurisdictions, the provider will be released from liability for hosting the illegal content on its cloud infrastructure if it removed such content once it became aware of it.Por ejemplo, según el procedimiento de “notificación y retirada” (véase el párr. 82 supra) vigente en algunas jurisdicciones, el proveedor queda liberado de responsabilidad por alojar contenido ilícito en su infraestructura de nube si lo retira en cuanto se entere de su existencia.
129.129.
In some jurisdictions, to be enforceable, the clauses containing disclaimers and limitations of liability agreed upon by the parties must be included in the contract.En algunas jurisdicciones es necesario incluir en el contrato las cláusulas de descargo y limitación de la responsabilidad acordadas por las partes para que sean exigibles.
The applicable law might impose form or other requirements for the validity and enforceability of those clauses.La ley aplicable podría supeditar la validez y eficacia de esas cláusulas al cumplimiento de determinados requisitos de forma o de otra índole.
Other considerations for drafting liability clausesOtras cuestiones que deben tenerse en cuenta al redactar cláusulas de responsabilidad
130.130.
The amount, if any, charged for the cloud computing services and the risks involved in the provision of the services would all be considered in negotiating the allocation of risks and liabilities.Al negociar la distribución de los riesgos y la responsabilidad, normalmente se tendrán en cuenta el importe cobrado, en su caso, por los servicios de computación en la nube, así como los riesgos inherentes a la prestación de esos servicios.
Although parties generally tend to exclude or limit liability as regards factors that they cannot control or can control only to a limited extent (e.g., behaviour of end users, actions or omissions of subcontractors), the level of control would not always be a decisive consideration.Aunque las partes tienden por lo general a excluir o limitar la responsabilidad derivada de factores ajenos a su voluntad o que solo pueden controlar hasta cierto punto (como el comportamiento de los usuarios finales o las acciones u omisiones de los subcontratistas), el grado de control no siempre será un factor decisivo.
A party may be prepared to assume risks and liability for elements that it does not control in order to distinguish itself in the market place.Una parte puede estar dispuesta a asumir riesgos y responsabilidad por elementos ajenos a su voluntad con el fin de distinguirse en el mercado.
It is nevertheless likely that the party’s risks and liabilities would increase progressively in proportion to the components under its control.No obstante, es más probable que los riesgos y la responsabilidad de esa parte aumenten progresivamente de forma proporcional a los elementos que estén bajo su control.
131.131.
For example, in SaaS involving the use of standard office software, it is likely that the provider would be responsible for virtually all resources provided to the customer, and liability of the provider could arise in each case of non-provision or malfunctioning of those resources.Por ejemplo, en los servicios de tipo SaaS en que se utilizan programas informáticos de oficina de carácter estándar, es probable que el proveedor sea responsable de prácticamente todos los recursos proporcionados al cliente, por lo que podría incurrir en responsabilidad en todos los casos en que esos recursos no estuviesen disponibles o no funcionaran correctamente.
Nevertheless, even in those cases, the customer could still be responsible for some components of the services, such as encryption or backups of data under its control.No obstante, incluso en esos casos, el cliente podría tener que responder de todos modos de algunos componentes de los servicios, como el cifrado o las copias de seguridad de los datos bajo su control.
The failure to ensure adequate backups might lead to the loss of the right of recourse against the provider in case of the loss of data.El hecho de no realizar las copias de seguridad necesarias podría acarrear la pérdida del derecho a reclamar contra el proveedor en caso de pérdida de los datos.
On the other hand, in IaaS and PaaS, the provider could be responsible only for the infrastructure or platforms provided (such as hardware resources, operating system or middleware), while the customer would assume responsibility for all components belonging to it, such as applications run using the provided infrastructure or platforms and data contained therein.En cambio, en el caso de los servicios de tipo IaaS y PaaS, el proveedor podría tener que responder únicamente de la infraestructura o las plataformas proporcionadas (como los equipos físicos, el sistema operativo o los programas intermedios), mientras que el cliente asumiría responsabilidad respecto de todos los componentes que le pertenecieran, como las aplicaciones que se ejecutaran utilizando esas infraestructuras o plataformas y los datos alojados en ellas.
Providers’ standard termsCondiciones estándar del proveedor
132.132.
Providers’ standard terms may exclude any liability under the contract and take the position that liability clauses are non-negotiable.En sus condiciones estándar, los proveedores pueden eximirse de toda responsabilidad contractual y adoptar la postura de que las cláusulas de responsabilidad son innegociables.
Alternatively, the provider may be willing to accept liability, including unlimited liability, for breaches controllable by the provider (e.g., a breach of IP licenses granted to the provider by the customer) but not for breaches that may occur for reasons beyond the provider’s control (e.g., unforeseeable events or leaks of confidential data).Otra posibilidad es que el proveedor esté dispuesto a asumir responsabilidad, incluso ilimitada, por los incumplimientos que dependen de su voluntad (por ejemplo, una violación de las licencias de PI concedidas por el cliente al proveedor), pero no por los incumplimientos que puedan ocurrir por causas ajenas a su voluntad (por ejemplo, debido a hechos imprevisibles o a la filtración de información confidencial).
133.133.
Providers’ standard terms generally exclude liability for indirect or consequential loss (e.g., loss of business opportunities following the unavailability of the cloud computing service).Por lo general, en las condiciones estándar de los proveedores, estos se eximen de responsabilidad por daños indirectos o emergentes (por ejemplo, la pérdida de oportunidades comerciales a raíz de la falta de disponibilidad de los servicios de computación en la nube).
Where liability is accepted generally or for certain specified cases, providers’ standard terms often limit the amount of losses that will be covered (per incident, per series of incidents or per period of time).Cuando los proveedores asumen responsabilidad con carácter general o en determinados casos establecidos expresamente, en sus condiciones estándar se suele limitar la cuantía de los daños por los que se responderá (por cada siniestro, serie de siniestros relacionados entre sí o período de tiempo).
In addition, providers often fix an overall cap on liability under the contract, which may be linked to the revenue expected to be received under the contract, to the turnover of the provider or insurance coverage.Además, los proveedores suelen fijar un límite máximo general a su responsabilidad contractual, que puede establecerse en función de los ingresos que esperan obtener de conformidad con el contrato, de su volumen de facturación o de la cobertura prevista en sus pólizas de seguro.
134.134.
Providers’ standard terms usually impose liability on the customer for non-compliance with AUP.Normalmente, en las condiciones estándar de los proveedores se hace responsable al cliente del incumplimiento de la PUA.
Possible variations of standard termsPosibles variaciones de las condiciones estándar
135.135.
Some events (e.g., personal data protection violations and IP rights infringement) could expose either party to the potentially high liability to third parties or give rise to regulatory fines.Algunos hechos (por ejemplo, el quebrantamiento de las normas de protección de los datos personales y la vulneración de derechos de PI) podrían dar lugar a que cualquiera de las partes incurriera en un grado posiblemente alto de responsabilidad frente a terceros o a que se impusieran multas reglamentarias.
It is common to agree on a more stringent liability regime (unlimited liability or higher compensation) when those events occur due to the fault or negligence of the other party.Es habitual que se pacte un régimen de responsabilidad más severo (responsabilidad ilimitada o indemnizaciones más elevadas) para los casos en que el hecho sea imputable a la culpa o negligencia de la otra parte.
136.136.
Liability of the parties for actions of third parties that they cannot control (e.g., of the customer for actions of end users or of the provider for actions of the customer or its end users) may be limited or excluded by contract or law.Tanto la ley como el contrato pueden limitar o excluir la responsabilidad de las partes por los actos de terceros que escapen a su control (por ejemplo, la responsabilidad del cliente por los actos de sus usuarios finales o la responsabilidad del proveedor por los actos del cliente o los usuarios finales de este).
Liability insuranceSeguro de responsabilidad civil
137.137.
The contract may contain insurance obligations for both or either party, in particular as regards quality requirements for an insurance company and the minimum amount of insurance coverage sought.En el contrato pueden preverse determinadas obligaciones en materia de seguros para una o ambas partes, especialmente en lo que respecta a los requisitos de calidad que deberá reunir la compañía de seguros elegida y la cuantía mínima de la cobertura que deberá obtenerse.
It may also require parties to notify changes to the insurance coverage or provide copies of current insurance policies to each other.También se puede establecer la obligación de cada parte de notificar a la otra los cambios que se realicen en la cobertura de su seguro o de proporcionar a la otra una copia de las pólizas de seguros que tenga en vigor.
K.K.
Remedies for breach of the contractMedidas que pueden adoptarse en caso de incumplimiento del contrato
Types of remediesTipos de medidas
138.138.
The parties are free to select remedies within the limits of applicable law. Remedies may include in-kind remedies aimed at providing the aggrieved party with the same or equivalent benefit expected from contract performance (e.g., replacement of the defective hardware), monetary remedies (e.g., service credits) and termination of the contract.Las partes pueden elegir libremente, dentro de los límites que establezca la ley aplicable, las medidas que adoptarán, entre ellas, por ejemplo, medidas de reparación en especie que permitan a la parte agraviada obtener una prestación idéntica o equivalente a la que esperaba obtener en el marco del cumplimiento del contrato (por ejemplo, la sustitución del equipo físico defectuoso), compensaciones pecuniarias (por ejemplo, créditos para la utilización de servicios) y la resolución del contrato.
The contract could differentiate between types of breaches and specify corresponding remedies.En el contrato se podrían contemplar diferentes tipos de incumplimiento y especificar las medidas que podrían adoptarse en cada caso.
Suspension or termination of servicesSuspensión o cancelación de los servicios
139.139.
Suspension or termination of the provision of the cloud computing services is a usual remedy of the provider for the customer’s breach of a contract or violation of AUP by the customer’s end users.Una de las medidas que suele adoptar el proveedor cuando el cliente incumple el contrato o sus usuarios finales infringen la PUA es suspender o cancelar la prestación de los servicios de computación en la nube.
The contract may include safeguards against broad suspension or termination rights.En el contrato pueden preverse medidas de salvaguardia para restringir el alcance de los derechos de suspensión o cancelación de los servicios.
For example, the right of the provider to suspend or terminate the provision of the cloud computing services to the customer may be limited to cases of fundamental breach of the contract by the customer, significant threats to the security or integrity of the provider’s system and cases stated in the applicable law.Por ejemplo, el derecho del proveedor a suspender o cancelar la prestación de los servicios de computación en la nube al cliente puede limitarse a los casos en que este incurra en un incumplimiento esencial del contrato o en que surjan amenazas graves para la seguridad o la integridad del sistema del proveedor, así como a otros supuestos establecidos en la ley aplicable.
The provider’s right to suspend or terminate may also be restricted only to those services that are affected by the breach, where such a possibility exists.El derecho del proveedor a suspender o cancelar los servicios también puede limitarse exclusivamente a los servicios que resulten afectados por el incumplimiento, cuando exista esa posibilidad.
Service creditsCréditos para la utilización de servicios
140.140.
An often-used mechanism to compensate the customer for non-performance by the provider is the system of service credits.Un mecanismo que suele utilizarse para compensar al cliente por el incumplimiento del proveedor es el sistema de créditos para la utilización de servicios.
Those credits take the form of a reduced fee for the services to be provided under the contract in the following measured period.Esos créditos consisten en un descuento en el precio de los servicios contratados que se prestarán en el siguiente período de facturación.
A sliding scale may apply (i.e., a percentage of reduction may depend on the extent to which the provider’s performance under the contract falls short of the performance parameters identified in SLA or other parts of the contract).Se puede aplicar una escala variable (es decir, descontar un porcentaje que puede depender de la medida en que el servicio prestado por el proveedor en el marco del contrato no se ajuste a los parámetros de cantidad y calidad establecidos en el SLA o en otras partes del contrato).
An overall cap for service credits may also apply.También se puede aplicar un límite máximo general a los créditos para la utilización de servicios.
Providers may limit the circumstances in which service credits are given to those, for example, where failures arise from matters under the provider’s control or where credits are claimed within a certain period of time.Los proveedores pueden limitar los casos en que se concederán esos créditos y disponer, por ejemplo, que solo los concederán cuando los fallos se deban a cuestiones que dependan de su voluntad o cuando el cliente reclame dichos créditos dentro de un plazo determinado.
Some providers may also be willing to offer a refund of fees already paid or an enhanced service package in the following measured period (e.g., free information technology consultancy).Algunos proveedores también pueden estar dispuestos a devolver sumas ya abonadas o a ofrecer un paquete de servicios mejorado durante el siguiente período de facturación (ofreciendo, por ejemplo, consultoría gratuita sobre tecnología de la información).
If a range of options exists, providers’ standard terms may stipulate that any remedy for provider non-performance will be at the choice of the provider.Si existen varias medidas disponibles, es posible que en las condiciones estándar de los proveedores se establezca que, en caso de incumplimiento del proveedor, este tendrá derecho a elegir la forma de subsanar su incumplimiento.
141.141.
Fixing service credits as the sole and exclusive remedy against the provider’s non-performance of its contractual commitments may limit the customer’s rights to other remedies, including suing for damages or terminating the contract.Cuando los créditos para la utilización de servicios son la única medida prevista para el caso de incumplimiento de las obligaciones contractuales del proveedor, el cliente puede ver limitado su derecho a recurrir a otras medidas, como la interposición de una demanda por daños y perjuicios o la resolución del contrato.
In addition, service credits in the form of fee reduction or an enhanced service package in the following measured period may be useless if the contract is terminated.Además, la concesión de créditos en forma de descuento en el precio de los servicios contratados o el ofrecimiento de un paquete de servicios mejorado en el período de facturación siguiente puede resultar inútil si se resuelve el contrato.
Excessive service credits may be unenforceable if they have been considered as an unreasonable approximation of harm at the outset of the contract.Quizás no sea posible exigir el cumplimiento de una cantidad excesiva de créditos concedidos para la utilización de servicios si se considera que la estimación de los posibles daños futuros realizada al comienzo del contrato no fue razonable.
Other measures, such as penalties (where admissible) or liquidated damages, may provide more appropriate incentives for ensuring contractual compliance.Otras medidas, como la inclusión de una cláusula penal (cuando es admisible) o la fijación del monto de la indemnización en el contrato pueden constituir incentivos más adecuados para que este se cumpla.
Formalities to be followed in case of the breach of the contractFormalidades que han de seguirse en caso de incumplimiento del contrato
142.142.
The contract may set forth procedures to be followed in cases of breach.En el contrato pueden establecerse las formalidades que deben seguirse en caso de incumplimiento.
For example, the contract could require a party to notify the other party when any terms of the contract are deemed to be violated and to provide a chance to remedy such asserted violation.Por ejemplo, en el contrato podría establecerse que la parte que considere que se ha infringido alguna cláusula del contrato deberá notificar a la otra esa circunstancia y darle la posibilidad de subsanar el incumplimiento aducido.
Time limits for claiming remedies may also be set.También se pueden fijar plazos para solicitar las medidas pertinentes.
L.L.
Term and termination of the contractPlazo y extinción del contrato
Effective start date of the contractFecha efectiva de entrada en vigor del contrato
143.143.
The effective start date of the contract may be different from the signature date, the date of acceptance of the offer or the date of acceptance of configuration and other actions required for the customer to migrate to the cloud.La fecha efectiva de entrada en vigor del contrato puede no coincidir con la fecha en que este se firme, o con la fecha en que se acepte la oferta, o con la fecha en que se acepten la configuración y demás medidas necesarias para que el cliente migre sus contenidos a la nube.
The date when the cloud computing services are made available to the customer by the provider, even if they are not actually used by the customer, may be considered the effective start date of the contract.Puede considerarse que el contrato entra efectivamente en vigor en la fecha en que el proveedor pone a disposición del cliente los servicios de computación en la nube, aunque el cliente no llegue realmente a utilizarlos en ese momento.
The date of the first payment by the customer for the cloud computing services, even if they are not yet made available to the customer by the provider, may also be considered the effective start date of the contract.También puede considerarse que la fecha efectiva de entrada en vigor del contrato es aquella en que el cliente realiza el primer pago por los servicios de computación en la nube, aun cuando el proveedor no los haya puesto aún a su disposición.
For those reasons and to avoid uncertainties, the parties may indicate in the contract its effective start date.Por esas razones, y para evitar dudas, las partes pueden indicar en el contrato la fecha efectiva de entrada en vigor de este.
Duration of the contractDuración del contrato
144.144.
The duration of the contract could be short, medium or long.La duración del contrato puede ser corta, mediana o larga.
It is common in standardized commoditized multi-subscriber cloud solutions to provide for a fixed initial duration (short or medium), with automatic renewals unless terminated by either party.En el caso de las soluciones de nube genéricas y estandarizadas para múltiples suscriptores, es habitual que se fije en el contrato un plazo inicial determinado (corto o mediano), prorrogable automáticamente a menos que alguna de las partes decida poner fin a la relación contractual.
The provider may agree to serve the customer an advance notification of the upcoming expiration of the term of the contract.El proveedor puede convenir en notificar al cliente cuando se aproxime la fecha de vencimiento del contrato.
Various considerations, including risks of being lock-in and missing better deals, may impact a decision on renewal.Es posible que en la decisión de renovar o no el contrato influyan diversos factores, entre ellos el riesgo de dependencia o de perder la oportunidad de contratar otros servicios en condiciones más favorables.
Earlier terminationResolución anticipada
145.145.
Contracts usually address reasons for termination other than upon expiration of its fixed term, such as for convenience, breach or other reasons.En los contratos se suelen establecer otras causas, además del vencimiento del plazo estipulado, que pueden dar lugar a su extinción, como la conveniencia de las partes, el incumplimiento u otros motivos.
The contract may provide modalities for earlier termination, including requirements for a sufficiently advance notice, reversibility and other end-of-service commitments (see paras. 157–167 below).Es posible que en el contrato se prevean las condiciones que regirán su resolución anticipada, entre ellas la obligación de enviar una notificación con suficiente antelación, la reversibilidad y otras obligaciones relativas a la finalización de los servicios (véanse los párrs. 157 a 167 infra).
Termination for convenienceResolución por razones de conveniencia
146.146.
Providers’ standard terms, especially for provision of standardized commoditized multi-subscriber cloud solutions, usually reserve the right of the provider to terminate the contract at any time without customer default.En las condiciones estándar de los proveedores, sobre todo las relacionadas con la prestación de soluciones de nube genéricas y estandarizadas para múltiples suscriptores, estos suelen reservarse el derecho a poner fin al contrato en cualquier momento, aunque el cliente no haya incurrido en incumplimiento.
The parties may agree to limit the circumstances under which such a right could be exercised and oblige the provider to serve the customer with sufficiently advance notice of termination.Las partes pueden convenir en limitar las circunstancias en que se podrá ejercer ese derecho y obligar al proveedor a notificar al cliente con suficiente antelación su voluntad de poner fin al contrato.
147.147.
The customer’s right to terminate the contract for convenience (i.e., without the default of the provider) is especially common in public contracts.El derecho del cliente a resolver el contrato por razones de conveniencia (es decir, aunque el proveedor no haya incurrido en incumplimiento) es especialmente frecuente en los contratos públicos.
The provider may demand payment of early termination fees in such cases.En esos casos, el proveedor puede exigir el pago de una indemnización por resolución anticipada.
Payment of early termination fees by public entities may however be restricted by law.No obstante, la posibilidad de exigir ese pago a un organismo público puede estar restringida por la ley.
In contracts of indefinite duration, providers may be more inclined to accept termination by the customer for mere convenience without compensation, but that might also lead to a higher contract price.En los contratos de duración indefinida, si bien es posible que los proveedores estén más dispuestos a aceptar que el cliente ponga fin al contrato por razones de mera conveniencia sin tener que pagar una indemnización, ello podría dar lugar también a que se fijara un precio más alto en el contrato.
Termination for breachResolución por incumplimiento
148.148.
Fundamental breach usually justifies termination of the contract.Por lo general, el incumplimiento esencial del contrato es motivo fundado para resolverlo.
To avoid ambiguities, the parties may define in the contract the events that constitute a fundamental breach of the contract.A fin de evitar ambigüedades, las partes pueden definir en el contrato los supuestos que constituirán un incumplimiento esencial de este.
Fundamental breach of the contract by the provider may include data loss or misuse, personal data protection violations, recurrent security incidents (e.g., more than a certain number of times per any measured period), confidentiality leaks and non-availability of services at certain time points or for a certain period of time.El incumplimiento esencial del contrato por el proveedor puede consistir en la pérdida o el uso indebido de los datos, el quebrantamiento de las normas de protección de los datos personales, la frecuencia de los incidentes de seguridad (cuando se produzcan, por ejemplo, más de un determinado número de veces en cada período de facturación), la filtración de información confidencial y la indisponibilidad de los servicios en determinados momentos o durante un determinado período de tiempo.
Non-payment by the customer and violation of AUP by the customer or its end users are among the most common reasons for termination of the contract by the provider.La falta de pago por el cliente y la transgresión de la PUA por este o sus usuarios finales son algunos de los motivos más comunes por los que los proveedores ponen fin a los contratos.
The party’s right to terminate the contract may be conditional on serving a prior notice, holding good faith consultations and providing a possibility to remedy the situation.El derecho de una parte a resolver el contrato puede estar sometido a la condición de que se realice una notificación previa, se celebren consultas de buena fe y se ofrezca la posibilidad de corregir la situación.
The party may be obliged under the contract to restore contract performance within a certain number of days after remedial action has been taken.La parte puede estar obligada, en virtud del contrato, a reanudar el cumplimiento de este una vez transcurrido un determinado número de días a partir del momento en que se hayan adoptado las medidas correctivas correspondientes.
149.149.
The contract may address the provider’s end-of-service commitments that would survive the customer’s fundamental breach of the contract, including the reversibility of customer data and other content (see paras. 157–167 below).En el contrato pueden establecerse las obligaciones relativas a la finalización de los servicios asumidas por el proveedor que subsistirán aunque el cliente incurra en un incumplimiento esencial del contrato, entre ellas la reversibilidad de los datos y otros contenidos del cliente (véanse los párrs. 157 a 167 infra).
Termination due to unacceptable modifications of the contractResolución por modificaciones inaceptables del contrato
150.150.
Certain modifications to the contract by one party may not be acceptable to the other party and may justify termination of the contract.Algunas modificaciones introducidas en el contrato por una de las partes pueden no ser aceptables para la otra y constituir una causa justificada de resolución del contrato.
Those modifications might include modifications to data localization requirements or subcontracting terms.Podrían estar incluidas en esa categoría las modificaciones de los requisitos de ubicación de los datos o las condiciones de subcontratación.
The contract may provide for the customer’s right to terminate the entire contract if modifications to the contract due to the restructuring of the provider’s service portfolio lead to termination or replacement of some services (see paras. 105–124 above and para. 155 below).El contrato puede conferir al cliente el derecho a resolverlo en su totalidad cuando las modificaciones introducidas en él a raíz de una reestructuración de la cartera de servicios del proveedor tengan como resultado la cancelación o sustitución de algunos de esos servicios (véanse los párrs. 105 a 124 supra y el párr. 155 infra).
Termination in case of insolvencyResolución por insolvencia
151.151.
Risks of insolvency may be identified during the risk assessment (see part one, para. 15(j)) and during the contract, for example, if periodic reporting about the financial condition of the parties is required under the contract.Es posible que se detecte un riesgo de insolvencia en la etapa de evaluación de los riesgos (véase la primera parte, párr. 15 j)) y durante el período de vigencia del contrato si, por ejemplo, en este se exige la presentación de informes periódicos sobre la situación financiera de las partes.
Clauses allowing termination of the contract in the event of insolvency of either party are common. Mandatory provisions of insolvency law may override those clauses.Las cláusulas que permiten poner fin al contrato en caso de insolvencia de una de las partes son bastante frecuentes, aunque puede haber normas imperativas en el régimen de la insolvencia que las dejen sin efecto.
152.152.
An insolvent customer may need to continue using the cloud computing services while resolving its financial difficulty.Un cliente insolvente quizás necesite seguir utilizando los servicios de computación en la nube mientras resuelve sus dificultades financieras.
The parties may restrict the right to invoke the insolvency as the sole ground for termination of the contract in the absence of, for example, the customer’s default in payment under the contract.Las partes pueden limitar su derecho a invocar la insolvencia como único motivo para poner fin al contrato cuando no concurriera otro, por ejemplo, el incumplimiento de las obligaciones de pago contraídas por el cliente en virtud del contrato.
153.153.
The parties may specify in the contract, or the law may provide for, mechanisms for the retrieval of customer data in case of the provider’s insolvency (e.g., an automatic release of the source code or key escrow allowing access to the customer data and other content).Puede haber mecanismos, ya sea estipulados por las partes en el contrato o establecidos en la ley, que permitan recuperar los datos del cliente en caso de insolvencia del proveedor (por ejemplo, la comunicación automática al cliente del código fuente o las claves bajo custodia para que este pueda acceder a sus datos y otros contenidos).
Otherwise, the customer may face difficulties and delays with retrieval of its data and other content from the insolvent provider’s cloud infrastructure.Sin estos mecanismos, el cliente podría tener dificultades para recuperar sus datos y otros contenidos alojados en la infraestructura de nube del proveedor insolvente o tardar en recuperarlos.
Where a mass exit and withdrawal of content occurs due to a crisis of confidence in the provider’s financial position, the insolvent provider or an insolvency representative may limit the amount of content (data and application code) that can be withdrawn in a given time period or decide that end-of-service commitments should proceed on a “first come, first served” basis.Cuando se produce un éxodo masivo y se retira una gran cantidad de contenidos como consecuencia de una crisis de confianza ocasionada por la situación financiera del proveedor, el proveedor insolvente o un representante de la insolvencia pueden limitar la cantidad de contenido (datos y código de las aplicaciones) que se podrá retirar en un período determinado, o decidir que las obligaciones relativas a la finalización de los servicios se irán cumpliendo en el orden en que se reciban las solicitudes correspondientes.
Termination in case of change of controlResolución por cambio de control
154.154.
The change of control may, for example, involve a change in the ownership or the capacity to determine, directly or indirectly, the operating and financial policies of the provider, which may lead to changes in the provider’s service portfolio.El cambio de control puede ocurrir, por ejemplo, cuando cambia la propiedad de la empresa, o cuando cambia la capacidad de determinar, directa o indirectamente, las políticas operacionales y financieras del proveedor, lo que a su vez puede determinar que se modifique la cartera de servicios que este ofrece.
The change of control may also involve the assignment or novation of the contract, with rights and obligations or only rights under the contract transferred to a third party.El cambio de control puede producirse también cuando se realiza una cesión o una novación del contrato y se transmiten a un tercero los derechos y obligaciones (o solo los derechos) previstos en él.
As a result, an original party to the contract may change, or certain aspects of the contract, for example payments, may need to be performed to a third party.Como resultado de ello, es posible que cambie alguna de las partes contratantes originales o que se modifiquen determinados aspectos del contrato, de modo que, por ejemplo, los pagos tengan que realizarse a un tercero.
155.155.
The applicable law may require termination of the contract if as a result of the change of control, mandatory requirements of law (e.g., data localization requirements or prohibition to deal with certain entities under international sanctions regime or because of national security concerns) cannot be fulfilled.La ley aplicable puede disponer que se resuelva al contrato si, como consecuencia del cambio de control, no pudieran cumplirse los requisitos exigidos por normas legales imperativas (por ejemplo, los requisitos de ubicación de los datos o la prohibición de hacer negocios con determinadas entidades comprendidas en un régimen internacional de sanciones o por motivos de seguridad nacional).
Public contracts may, in particular, be affected by statutory restrictions on the change of control.Los contratos públicos pueden verse especialmente afectados por restricciones legales aplicables a los cambios de control.
In addition, the parties may agree about termination of the contract in case of change of control, in particular if, as a result of such change, the provider or the contract is taken over by the customer’s competitor or if the takeover leads to discontinuation of, or significant changes in, the service portfolio.Además, las partes pueden convenir en que se resuelva el contrato en caso de cambio de control, en especial si, como consecuencia de dicho cambio, un competidor del cliente adquiere la empresa del proveedor o lo sucede como parte en el contrato, o si el cambio de control tiene como resultado la interrupción o una modificación importante de los servicios comprendidos en la cartera.
Requiring an advance notice of an upcoming change of control and its expected impact on the contract is common.Es frecuente que se establezca la obligación de notificar con antelación todo cambio de control que se vaya a realizar próximamente, así como los efectos que se prevé que tenga el cambio sobre el contrato.
Inactive account clauseCláusula sobre cuentas inactivas
156.156.
Customer inactivity for a certain time period specified in the contract may be a ground for unilateral termination of the contract by the provider.La inactividad del cliente durante un determinado período de tiempo establecido en el contrato puede ser invocada por el proveedor como causa de resolución unilateral del contrato.
The inactive account clause is unusual in business-to-business cloud computing contracts provided for remuneration.Sin embargo, no es habitual que se incluya la cláusula sobre cuentas inactivas en los contratos de servicios remunerados de computación en la nube celebrados entre empresas.
M.M.
End-of-service commitmentsObligaciones relativas a la finalización de los servicios
157.157.
End-of-service commitments may raise not only contractual but also regulatory issues.Es posible que las obligaciones relativas a la finalización de los servicios no solo planteen dificultades de carácter contractual, sino también en relación con la normativa.
The parties may be concerned about achieving a balance between the customer’s interest in continuous access to its data and other content, including during the transition period, and the provider’s interest in ending any obligation towards the former customer as soon as possible.Las partes pueden tratar de lograr un equilibrio entre, por una parte, el interés del cliente en disponer de acceso continuo a sus datos y otros contenidos (incluso durante el período de transición) y, por otra, el interés del proveedor en poner fin lo antes posible a toda obligación que pudiera vincularlo a su antiguo cliente.
158.158.
End-of-service commitments may be the same regardless of the cause of termination of the contract or may be different depending on whether termination is for breach of contract or other reasons.Las obligaciones relativas a la finalización de los servicios pueden ser las mismas cualquiera sea la causa de extinción del contrato, o pueden variar según si el contrato se resuelve por incumplimiento o por otros motivos.
The following paragraphs discuss issues that parties may wish to address in the contract.En los párrafos siguientes se examinan una serie de cuestiones que las partes tal vez deseen prever en el contrato.
Time frame for exportPlazo para la exportación
159.159.
The parties may specify in the contract a time frame for export, which may need to be sufficiently long to ensure a smooth export by the customer of its data and other content to another system.Las partes pueden estipular en el contrato un plazo para la exportación de los datos y otros contenidos del cliente, que quizás tenga que ser suficientemente amplio para que este pueda transferirlos sin dificultades a otro sistema.
Customer access to the content subject to exportAcceso del cliente al contenido que se ha de exportar
160.160.
The contract would specify data and other content subject to export and ways of gaining customer access thereto, including any decryption keys that may be held by the provider or third parties (see part one, para. 28).En el contrato deberían especificarse los datos y otros contenidos que habrán de exportarse, así como la forma en que el cliente podrá acceder a ellos, incluidas las claves de descifrado que pudieran estar en poder del proveedor o de terceros (véase la primera parte, párr. 28).
To facilitate the export of the customer’s data with the minimal involvement of the provider, the parties may agree on an escrow arrangement (i.e., involvement of a third party authorized to automatically release to the customer the source code, decryption keys or other elements allowing access to the customer data and other content upon occurrence of certain events, such as termination of the contract (see also para. 153 above)).A fin de facilitar la exportación de los datos del cliente con la mínima intervención del proveedor, las partes pueden pactar un sistema de custodia (es decir, la intervención de un tercero autorizado a comunicar automáticamente al cliente el código fuente, las claves de descifrado u otros elementos que le permitan recuperar sus datos y otros contenidos cuando se produzcan determinados hechos, como la extinción del contrato (véase también el párr. 153 supra)).
The contract may also specify export options, including their formats and processes, to the extent possible, recognizing that they may change over time.En el contrato también pueden describirse distintas opciones para la exportación, indicando, en la medida de lo posible, sus respectivos formatos y procesos, aunque aclarando que pueden cambiar con el tiempo.
Export assistance by the providerAsistencia prestada por el proveedor para la exportación
161.161.
The provider may not always agree to be actively involved in assisting the customer with exporting its data to another system, but it may be expected under law to ensure that such export is possible and simple.Si bien es posible que el proveedor no siempre esté dispuesto a ayudar activamente al cliente a exportar sus datos a otro sistema, la ley podría obligarlo a garantizar que esa exportación sea factible y fácil de realizar.
Where the parties agreed on the provider’s involvement in the export of customer data to another system, the contract may specify details, such as the extent, procedure and time period for export assistance.Si las partes hubieran convenido en que el proveedor participase en la exportación de los datos del cliente a otro sistema, es posible que se especifiquen en el contrato los detalles de la asistencia que se prestará para la exportación, entre ellos, por ejemplo, el alcance de esa asistencia, el período en que tendrá lugar y el procedimiento que se seguirá para prestarla.
The provider may require separate payment for the provision of export assistance.El proveedor puede exigir un pago aparte por la prestación de asistencia para la exportación.
In such case, the parties may fix the amount of the payment in the contract or agree to refer to the provider’s price list at a given time.En ese caso, las partes pueden establecer en el contrato la suma que deberá pagarse por esa asistencia, o convenir en remitirse al listado de precios del proveedor que esté vigente en un momento dado.
Alternatively, the parties may agree that such assistance is included in the contract price or that no extra payment will be charged if the contract termination follows the provider’s breach of contract.Otra opción sería que las partes estipularan que esa asistencia quedara incluida en el precio del contrato o que no se cobrara ninguna suma adicional si el contrato se resolviera por incumplimiento del proveedor.
Data deletionEliminación de datos
162.162.
The contract may need to specify rules for data deletion from the provider’s cloud infrastructure upon export or expiration of the period specified in the contract for export.Tal vez sea necesario estipular en el contrato las normas que regirán la eliminación de datos de la infraestructura de nube del proveedor una vez realizada su exportación o cuando haya vencido el plazo establecido en el contrato para llevar a cabo dicha exportación.
The data deletion may be done automatically by the provider, for example, upon occurrence of certain events, expiration of time periods that were agreed upon by the parties or as required by law.El proveedor puede eliminar los datos automáticamente, por ejemplo, cuando se produzcan determinados hechos, venzan los plazos acordados por las partes o lo exija la ley.
Alternatively, data may be deleted only upon a specific customer’s request and instructions.Como alternativa a lo anterior, podría estipularse que los datos se eliminasen solo cuando el cliente lo solicitara expresamente y siguiendo sus instrucciones específicas.
The parties may agree that the customer will be notified about the upcoming data deletion and will be served with an attestation, report or statement of data deletion, including data deletion from third parties’ systems.Las partes pueden convenir en que se notifique al cliente cuando se aproxime la fecha de eliminación de los datos y se le entregue un certificado, informe o declaración sobre los datos eliminados, incluidos los que estuvieran alojados en sistemas de terceros.
Post-contract retention of dataConservación de los datos una vez extinguido el contrato
163.163.
The provider might be required to retain customer data by law, in particular a data protection law, which may also address a time period during which the data must be retained.El proveedor podría estar obligado a conservar los datos del cliente por disposición de la ley, en particular una ley dictada en materia de protección de datos, en la que también podría estar fijado el tiempo durante el cual deben conservarse los datos.
Specific issues and requirements may arise from the need to retain and store digital signature certificates, especially in the cross-border context.La necesidad de conservar y almacenar certificados de firma digital, especialmente en el contexto transfronterizo, podría plantear algunos problemas concretos y dar lugar a que se impusieran determinadas obligaciones.
The parties may agree on the retention of customer data by the provider after the termination of the contract.Las partes pueden acordar que el proveedor conserve los datos del cliente una vez extinguido el contrato.
Some providers may offer a post-contract retention period at additional cost.Es posible que algunos proveedores ofrezcan, por un precio adicional, un servicio de conservación de los datos por un período determinado a partir de la extinción del contrato.
164.164.
The parties may include special requirements as regards data that are not or cannot be returned to the customer and whose deletion would not be possible.Las partes pueden establecer determinadas obligaciones respecto de los datos que no se devolverán o no podrán devolverse al cliente y cuya eliminación no sea posible.
For example, the contract may specify that all personal information must be de-identified and that the data are to be retained in an encrypted form or in a usable and interoperable format to allow its retrieval when required.Por ejemplo, en el contrato puede estipularse que toda información personal deberá anonimizarse y que los datos se conservarán cifrados o en un formato utilizable e interoperable que permita recuperarlos si fuera necesario.
The parties may also agree on their respective responsibilities for post-contractual retention of the data in the specified format.Las partes pueden pactar también la responsabilidad que le incumbirá a cada una de ellas en lo que respecta a la conservación de los datos en el formato especificado una vez extinguido el contrato.
Post-contract confidentiality clauseCláusula de confidencialidad postcontractual
165.165.
The parties may agree on a post-contract confidentiality clause.Las partes pueden pactar una cláusula de confidencialidad para la etapa posterior al contrato.
Confidentiality obligations may survive the contract for a specified number of years after the contract is terminated (e.g., five or seven years), or may continue indefinitely, depending on the nature of the customer data and other content that was placed in the provider’s cloud infrastructure.En función de la naturaleza de los datos y otros contenidos del cliente que se hayan alojado en la infraestructura de nube del proveedor, las obligaciones de confidencialidad pueden seguir existiendo durante un determinado número de años con posterioridad a la extinción del contrato (por ejemplo, de cinco a siete años) o prolongarse indefinidamente.
Post-contract auditsAuditorías posteriores a la extinción del contrato
166.166.
Post-contract audits may be agreed by parties or imposed by law.Las auditorías posteriores a la extinción del contrato pueden ser acordadas por las partes o impuestas por la ley.
The parties may agree on terms for carrying out such audits, including the time frame and allocation of costs.Las partes pueden estipular las condiciones aplicables a esas auditorías, en particular el momento en que se llevarán a cabo y la forma en que se distribuirán sus costos.
Leftover account balanceSaldo remanente en cuenta
167.167.
The parties may agree on conditions for the return to the customer of leftover amounts on its account or for the offset of those amounts against any additional payments that the customer would need to make to the provider, including for end-of-service activities or to compensate damage.Las partes pueden llegar a un acuerdo sobre las condiciones que deben darse para que se devuelvan al cliente las sumas remanentes en su cuenta o para que estas se compensen con las sumas adicionales que el cliente tuviera que abonar al proveedor, por ejemplo, por las actividades relativas a la finalización de los servicios o en concepto de indemnización de daños y perjuicios.
N.N.
Dispute resolutionSolución de controversias
Methods of dispute settlementMecanismos de solución de controversias
168.168.
The parties may agree on the method to settle their contractual disputes.Las partes pueden acordar el método que utilizarán para resolver sus controversias contractuales.
Dispute settlement methods include negotiation, mediation, online dispute resolution (ODR), arbitration and judicial proceedings.Los métodos de solución de controversias son, entre otros, la negociación, la mediación, la solución de controversias en línea (ODR), el arbitraje y la vía judicial.
Different types of dispute may justify different dispute resolution procedures.Según el tipo de controversia de que se trate, puede ser más conveniente recurrir a un tipo de procedimiento que a otro.
Disputes over financial and technical issues, for example, may be referred to a binding decision by a third-party expert (individual or body), while some other types of disputes may be more effectively dealt with through direct negotiations between the parties.Por ejemplo, es posible que las controversias sobre cuestiones financieras y técnicas se sometan a la decisión vinculante de un perito independiente (que puede ser una persona física o jurídica), mientras que para dirimir otro tipo de controversias puede ser más eficaz recurrir a las negociaciones directas entre las partes.
In case of smaller claims, ODR-assisted negotiations or mediation may offer fast and cost-effective methods for the parties to reach consensual agreement online.En el caso de reclamaciones de menor cuantía, la mediación o la negociación asistidas por sistemas ODR pueden ofrecer a las partes métodos rápidos y económicos de alcanzar un acuerdo consensuado en línea.
For higher-level claims, cloud sector-specific ODR may offer a competent specialized forum and be helpful for judicial processes.Para las reclamaciones de mayor cuantía, los sistemas ODR específicos del sector de la computación en la nube pueden constituir un foro especializado y competente y resultar de utilidad en los procesos judiciales.
The law of some jurisdictions may prescribe certain alternative dispute resolution mechanisms that the parties would need to exhaust before being able to refer a dispute to a court.Es posible que en la legislación vigente en algunas jurisdicciones se establezcan determinados mecanismos alternativos de solución de controversias que las partes tengan que agotar antes de poder someter su controversia a un órgano jurisdiccional.
Arbitral proceedingsArbitraje
169.169.
Disputes that are not amicably settled may be referred to arbitral proceedings if the parties opted for it.Las controversias que no se resuelvan de manera amistosa pueden someterse a arbitraje si las partes optaron por ese mecanismo.
Not all issues may, however, be referred to arbitration;Sin embargo, no todas las controversias son susceptibles de someterse a arbitraje;
some may be reserved by law for adjudication by a court.la ley puede disponer que algunas de ellas solo puedan ser dirimidas por un órgano jurisdiccional.
The parties may therefore wish to verify the arbitrability of their disputes before opting for arbitration.Por consiguiente, las partes deberían verificar si su controversia puede someterse a arbitraje antes de optar por esa vía.
An arbitration clause in a contract would usually refer to a set of arbitration rules to govern arbitral proceedings.Cuando se incluye una cláusula de arbitraje en un contrato, normalmente se especifica en ella el reglamento de arbitraje que se aplicará al proceso arbitral.
A contract can include a standard dispute resolution clause referring to the use of internationally recognized rules for the conduct of dispute resolution proceedings (e.g., the UNCITRAL Arbitration Rules).También puede incluirse en el contrato una cláusula estándar de solución de controversias que disponga la aplicación de normas reconocidas internacionalmente para llevar a cabo el proceso en cuestión (por ejemplo, el Reglamento de Arbitraje de la CNUDMI).
In the absence of such specification, the arbitral proceedings will normally be governed by the procedural law of the State where the proceedings take place or, if an arbitration institution is chosen by the parties, by the rules of that institution.A falta de una disposición contractual en tal sentido, el proceso arbitral se regirá normalmente por el derecho procesal del Estado en que tenga lugar o, si las partes hubieran elegido una institución arbitral, por el reglamento de esta.
Online dispute resolutionSolución de controversias en línea
170.170.
The parties may opt for an ODR mechanism for some or all categories of disputes arising from their contract subject to limitations imposed by law.Las partes pueden optar por un mecanismo ODR para resolver todas las clases de controversias que se deriven de su contrato, o solo algunas de ellas, a reserva de las limitaciones establecidas en la ley.
The contract may specify the scope of issues subject to ODR and the ODR platform and rules to be used in the proceedings.En el contrato pueden especificarse el alcance de las cuestiones que podrán someterse a un sistema ODR, la plataforma ODR que se utilizará y el reglamento por el que se regirá el proceso.
In some cases, ODR could be embedded in the cloud service package offered by the provider with an opt-out possibility.En algunos casos, la opción de resolver las controversias en línea podría estar incluida en el paquete de servicios de nube ofrecido por el proveedor, con la posibilidad de renunciar a ella voluntariamente.
171.171.
The ODR process usually consists of: (a) negotiation conducted between the parties via the ODR platform;El proceso ODR suele estar compuesto de las siguientes etapas: a) negociaciones celebradas entre las partes por conducto de la plataforma ODR;
(b) facilitated settlement, where a neutral is appointed and communicates with the parties to try to achieve a settlement;b) arreglo facilitado, en que se nombra a un tercero neutral que se comunica con las partes para tratar de que lleguen a un arreglo;
and (c) a final stage, in which the ODR administrator or a neutral informs the parties of the nature of the final stage, and of its form.y c) una etapa final, en que el administrador de servicios ODR o un tercero neutral informan a las partes de la naturaleza y forma de la etapa final.
The result of ODR may be non-binding on the parties unless the contract or the applicable law states otherwise.El resultado del proceso ODR puede no ser vinculante para las partes, a menos que el contrato o la ley aplicable dispongan lo contrario.
Judicial proceedingsVía judicial
172.172.
If judicial proceedings are to take place, due to the nature of cloud computing services, several States might claim jurisdiction.Si se entablara un proceso judicial podría suceder que, debido a la naturaleza de los servicios de computación en la nube, varios Estados se declarasen competentes para entender en el litigio.
Where possible, parties may agree on a jurisdiction clause under which they are obligated to submit disputes to a specific court (see paras. 175–181 below).En la medida de lo posible, es conveniente que las partes se pongan de acuerdo sobre una cláusula de competencia que las obligue a someter sus controversias a un determinado órgano jurisdiccional (véanse los párrs. 175 a 181 infra).
Retention of dataConservación de datos
173.173.
During the dispute resolution phase, continued access by the customer to its data, including metadata and other cloud service-derived data, may be vital, apart from for business continuity, for the customer’s participation in dispute resolution proceedings (e.g., to substantiate a claim or counterclaim).Durante la fase de solución de la controversia puede resultar vital que el cliente tenga acceso continuado a sus datos, incluidos los metadatos y otros datos obtenidos de los servicios de nube, no solo para garantizar la continuidad de sus operaciones, sino también a los efectos de su participación en el proceso en cuestión (por ejemplo, para fundamentar una demanda o una reconvención).
The contract may specifically provide that, in case of disputes between the parties, the customer’s data will be retained by the provider and the customer will have access to its data for a reasonable period of time, regardless of the nature of the dispute.En el contrato puede estipularse expresamente que, en caso de que surjan controversias entre las partes, el proveedor conservará los datos del cliente y este último tendrá acceso a sus datos durante un período de tiempo razonable, con independencia de la naturaleza de la controversia.
The parties may also agree on an escrow arrangement (see para. 160 above).Las partes también pueden pactar un sistema de custodia (véase el párr. 160 supra).
Limitation period for complaintsPlazo de prescripción para la presentación de reclamaciones
174.174.
The parties may specify in the contract the limitation period within which claims may be brought.Las partes pueden fijar en el contrato el plazo en que podrán presentarse reclamaciones.
Limitation periods stipulated in the law may be applicable and will override non-compliant terms of the contract.No obstante, si resultaran aplicables los plazos de prescripción establecidos en la ley, las estipulaciones contractuales que no se ajustaran a esos plazos quedarían sin efecto.
O.O.
Choice of law and choice of forum clausesCláusulas de elección de la ley y el foro
175.175.
Freedom of contract (see para. 34 above) usually allows parties to choose the law that will be applicable to their contract and the jurisdiction or forum where disputes will be considered.Con arreglo al principio de la libertad contractual (véase el párr. 34 supra), normalmente las partes pueden elegir la ley que será aplicable a su contrato y la jurisdicción o el foro en que se examinarán sus controversias.
The mandatory law (e.g., data protection law) may, however, override the choice of law and the choice of forum clauses made by the contracting parties, depending on the subject of the dispute.No obstante, y en función del objeto de la controversia de que se trate, es posible que existan normas legales imperativas (por ejemplo, en materia de protección de datos) que prevalezcan sobre las cláusulas de elección de la ley y el foro que hayan pactado las partes contratantes.
In addition, regardless of the choice of law and choice of forum, more than one mandatory law (e.g., data protection law, insolvency law), including from different jurisdictions, may be applicable to the contract.Además, independientemente de la ley y el foro que las partes elijan, es posible que sean aplicables al contrato más de un conjunto de normas legales imperativas (por ejemplo, las normas en materia de protección de datos y el régimen legal de la insolvencia), incluso de diferentes jurisdicciones.
Considerations involved in choosing the applicable law and forumCuestiones que deben tenerse en cuenta al elegir la ley aplicable y el foro
176.176.
The choice of law and choice of forum clauses are interconnected.Las cláusulas de elección de la ley y el foro están relacionadas entre sí.
Whether the selected and agreed-upon law will ultimately apply depends on the forum in which the choice-of-law clause is presented to a court or another adjudicating body, e.g., an arbitral tribunal.La aplicación de la ley elegida y convenida dependerá, en última instancia, del foro en que se invoque la cláusula de elección de la ley ante un órgano jurisdiccional u otro órgano decisor (por ejemplo, un tribunal arbitral).
It is the law of that forum that will determine whether the clause is valid and whether the forum will respect the choice of applicable law made by the parties.Será la ley de dicho foro la que determine si la cláusula es o no válida y si el foro respetará o no la elección de la ley aplicable que hayan hecho las partes.
Because of the importance of the forum law for the fate of the choice of law clause, a contract with such a clause usually also includes a choice of forum clause.Dada la importancia que tiene la ley del foro para la aplicabilidad de la cláusula de elección de la ley, en los contratos que contienen dicha cláusula también se suele incluir una cláusula de elección del foro.
177.177.
In choosing the forum, the parties usually consider the impact of the chosen or otherwise applicable law and the extent to which a judicial decision made in that forum would be recognized and enforceable in the countries where enforcement would likely be sought.Al elegir el foro, las partes suelen tener en cuenta los efectos de la ley aplicable que hayan elegido o de la ley que resulte aplicable por otros motivos y la medida en que se reconocerá y aplicará una resolución judicial de ese foro en los países en los que probablemente se solicite su ejecución.
Preserving flexibility in enforcement options may be an important consideration, especially in the cloud computing settings where many factors that parties usually take into account in formulating choice of law and choice of forum clauses may be uncertain, including the location of assets involved in the provision of services and the location of the provider and the customer.Quizás sea importante mantener la flexibilidad en cuanto a los métodos de ejecución por los que se puede optar, especialmente en los entornos de computación en la nube en que puede resultar difícil determinar muchos de los factores que las partes suelen tener en cuenta al redactar las cláusulas de elección de la ley y el foro, como el lugar en que se encuentran los bienes utilizados para la prestación de los servicios, el proveedor y el cliente.
Mandatory law and forumLey y foro obligatorios
178.178.
The law and the forum of a particular jurisdiction may be mandatory on various grounds, for example:Es posible que sea obligatorio someterse a la ley y el foro de una determinada jurisdicción por diversos motivos, entre ellos los siguientes:
(a)a)
The accessibility of the cloud computing services in the territory of a particular State may be sufficient for the application of the data protection law of that State;La accesibilidad de los servicios de computación en la nube en el territorio de un Estado determinado puede ser suficiente para que resulten aplicables las leyes sobre protección de datos de ese Estado;
(b)b)
The nationality or residence of the affected data subject or the contracting parties, in particular the data controller, may trigger the application of the law of that data subject or the party;La nacionalidad o el domicilio del sujeto de los datos que se ha visto afectado o de las partes contratantes, en especial del responsable de los datos, pueden dar lugar a la aplicación de la ley de ese sujeto de los datos o de esa parte;
andy
(c)c)
The law of the place in which the activity originated (the location of the equipment) or to which the activity is directed for the purpose of extracting benefits may trigger the application of the law of that place.La ley del lugar en que se originó la actividad (la ubicación del equipo) o al que se dirige la actividad con fines de lucro puede hacer necesario aplicar la ley de ese lugar.
The use of a given country top-level domain associated with a particular place, a local language in the website, pricing in local currency and local contact points are among the factors that might be taken into account in making such determination.Entre los factores que podrían tenerse en cuenta para determinar si será aplicable esa ley figuran la utilización de un dominio de nivel superior de un determinado país vinculado a un lugar determinado, el uso del idioma local en un sitio web, la fijación de los precios en la moneda local y la mención de personas de contacto locales.
Provider or customer home law and forumLey y foro del proveedor o del cliente
179.179.
Contracts for standardized commoditized multi-subscriber cloud solutions often specify that they are governed by the law of the provider’s principal place of business or place of establishment.En los contratos de soluciones de nube genéricas y estandarizadas para múltiples suscriptores se suele establecer que se regirán por la ley del lugar de ubicación del establecimiento o domicilio comercial principal del proveedor.
They typically grant the courts of that country exclusive jurisdiction over any disputes arising out of the contract.En esos contratos se otorga normalmente a los órganos jurisdiccionales del país del proveedor competencia exclusiva sobre todas las controversias derivadas del contrato.
The customer may prefer the law and jurisdiction of its own country.El cliente quizás prefiera la ley y el foro de su propio país.
Public institutions would face significant restrictions on their ability to consent to the law and jurisdiction of foreign countries.Por lo general, las instituciones públicas tienen importantes restricciones para aceptar la ley de otros países y la competencia de tribunales extranjeros.
Providers that operate in multiple jurisdictions may be flexible as regards accepting the choice of the law and forum of the country where the customer is located.Es posible que los proveedores que operan en múltiples jurisdicciones muestren flexibilidad en lo que respecta a aceptar la ley y el foro del país en que se encuentra el cliente.
Multiple optionsMultiplicidad de opciones
180.180.
The parties may also specify various choice of law and forum options for different aspects of the contract.Las partes también pueden elegir leyes y foros diferentes para distintos aspectos del contrato.
They may also opt for a defendant’s jurisdiction to eliminate the home forum advantage for a plaintiff and thus encourage informal resolution of disputes.Asimismo, pueden optar por la jurisdicción del demandado, para que el demandante no tenga la ventaja de poder litigar ante el foro de su propio país, fomentando así las vías oficiosas de solución de controversias.
No choice of law or forumAusencia de cláusulas de elección de la ley y el foro
181.181.
The parties may prefer no choice of law or forum clause in their contract, leaving the question open for later discussion if and when needed.Las partes pueden preferir no incluir cláusulas de elección de la ley y el foro en su contrato, dejando abierta la cuestión para que se discuta más adelante, si fuera necesario.
That might be considered the only viable solution in some cases.En algunos casos, esta podría considerarse la única solución viable.
ODR may also be part of the solution for the questions of jurisdiction and applicable law (see paras. 170–171).El sistema ODR también puede ser útil para resolver las cuestiones de competencia y ley aplicable (véanse los párrs. 170 y 171).
P.P.
NotificationsNotificaciones
182.182.
Notification clauses usually address the form, language, recipient and means of notification, as well as when the notification becomes effective (upon delivery, dispatch or acknowledgment of receipt).En las cláusulas relativas a las notificaciones se suelen establecer la forma y el idioma de la notificación, así como quién debe recibirla, los medios de notificación que han de emplearse y el momento en que la notificación se considera realizada (en el momento de la entrega, del envío o del acuse de recibo).
In the absence of any mandatory legislative provisions, parties may agree upon formalities for notification, which could be uniform or vary depending on the importance and urgency and other considerations.A falta de disposiciones legales imperativas al respecto, las partes pueden acordar las formalidades a que deben ajustarse las notificaciones, que pueden ser uniformes o variar en función de su importancia, su urgencia y otras consideraciones.
More stringent requirements may be made applicable, for example, in case of suspension or unilateral termination of the contract, as compared to routine notifications.Es posible que para determinadas notificaciones, como las relativas a la suspensión o a la resolución unilateral del contrato, se exijan formalidades más estrictas que para las notificaciones ordinarias.
The parties may agree on the deadlines, keeping in mind reversibility and business continuity needs.Las partes pueden pactar los plazos de notificación, teniendo presente la necesidad de garantizar la reversibilidad y la continuidad de las operaciones.
The contract may contain references to any notifications and deadlines imposed by law.En el contrato puede hacerse referencia a las notificaciones y plazos impuestos por la ley.
183.183.
The parties may opt for written notification to be served at the physical or electronic address of the contact persons specified in the contract.Las partes pueden decidir que las notificaciones se realicen por escrito y se envíen a la dirección electrónica o se entreguen en la dirección física de las personas de contacto indicadas en el contrato.
The contract may specify the legal consequences of a failure to notify and of a failure to respond to a notification that requires such a response.Es posible que en el contrato se establezcan los efectos jurídicos de no notificar o no responder a una notificación a la que deba contestarse.
Q.Q.
Miscellaneous clausesOtras cláusulas
184.184.
Parties often group under miscellaneous clauses provisions that do not fall under other parts of the contract.A menudo las partes agrupan bajo el título “otras cláusulas” diversas estipulaciones para las que no encuentran una ubicación más adecuada en otras partes del contrato.
Some of them may contain a standard text appearing in all types of commercial contracts (so called “boilerplate provisions”). Examples include a severability clause allowing the removal of invalid provisions from the contract or a language clause identifying a certain language version of the contract as prevailing in case of conflicts in interpretation of various language versions.Algunas de ellas (denominadas “cláusulas tipo”) tienen una redacción estándar que suele utilizarse en toda clase de contratos mercantiles, como la cláusula de divisibilidad, que permite excluir del contrato las disposiciones nulas, o la cláusula en que se establece que la versión del contrato redactada en un determinado idioma es la que prevalecerá sobre las versiones en los demás idiomas en caso de que hubiera discrepancias respecto de su interpretación.
Placing contractual clauses among miscellaneous provisions does not diminish their legal significance.El hecho de que una cláusula figure entre las denominadas “otras cláusulas” del contrato no disminuye su importancia desde el punto de vista jurídico.
Some of them may be tailored by the parties to the specifics of cloud computing services.Las partes pueden adaptar algunas de ellas teniendo en cuenta las particularidades de los servicios de computación en la nube.
R.R.
Amendment of the contractModificación del contrato
185.185.
Amendments to the contract could be triggered by either party.Cualquiera de las partes puede proponer que se modifique el contrato.
The contract would address the procedure for introducing amendments and making them effective.El procedimiento que debe seguirse para introducir modificaciones y para que estas surtan efecto suele estar previsto en el contrato.
The contract may also need to address the consequences of rejection of amendments by either party.Quizás sea necesario prever también en el contrato las consecuencias de que alguna de las partes rechace las modificaciones.
186.186.
In the light of the nature of cloud computing services, it might be difficult to differentiate changes that would constitute amendment of the contract from those changes that would not.Habida cuenta de la naturaleza de los servicios de computación en la nube, podría ser difícil distinguir entre los cambios que supondrían una modificación del contrato y los que no entrañarían tal modificación.
For example, the customer’s use of any options made available from the outset in the contract would not necessarily constitute an amendment of the initial contract, nor would changes in services resulting from routine maintenance and other activities of the provider covered by the contract (see paras. 105–106 above).Por ejemplo, la utilización por el cliente de cualquiera de las opciones previstas en el contrato desde el principio no sería necesariamente una modificación del contrato inicial, como tampoco lo serían los cambios que se hicieran en los servicios como resultado de operaciones rutinarias de mantenimiento y otras actividades del proveedor previstas en el contrato (véanse los párrs. 105 y 106 supra).
The addition of features not covered by the originally agreed terms and thus justifying changes in price may, on the other hand, constitute amendment of the contract.En cambio, el hecho de añadir funcionalidades no previstas en las condiciones acordadas inicialmente, que por ende justifiquen un ajuste en el precio, puede constituir una modificación del contrato.
Any updates leading to material changes to previously agreed terms and policies may also constitute an amendment of the contract.Las actualizaciones que den lugar a cambios sustanciales en las condiciones y políticas acordadas previamente también pueden constituir una modificación del contrato.
187.187.
The extent of permissible modifications to public contracts may be limited by public procurement rules that usually restrict the freedom of parties to renegotiate terms of a contract that were subject to public tendering proceedings.El alcance de las modificaciones que se permite introducir en los contratos públicos puede estar limitado por las normas que rigen la contratación pública, que generalmente restringen la libertad de las partes para volver a negociar las cláusulas de un contrato celebrado en virtud de un procedimiento de licitación pública.
188.188.
In the light of frequent modifications of the originally agreed terms, each party may wish to independently store the complete set of the originally agreed terms and their modifications.En caso de que se modificaran con frecuencia las condiciones pactadas originalmente, podría ser conveniente que cada una de las partes guardara separadamente el texto íntegro de las condiciones iniciales y de sus modificaciones.
GlossaryGlosario
Acceptable use policy (AUP): Part of the cloud computing contract between the provider and the customer that defines the limits of use by the customer and its end users of the cloud computing services covered by the contract.Política de uso aceptable (PUA): parte del contrato de computación en la nube celebrado entre el proveedor y el cliente en la que se definen los límites del uso que podrán hacer el cliente y sus usuarios finales de los servicios de computación en la nube previstos en el contrato.
Audit: The process of examining compliance with contractual and statutory requirements or technical standards. It may cover technical aspects, such as the quality and security of hardware and software; compliance with any applicable industry standards; and the existence of adequate measures, including isolation, to prevent unauthorized access to and use of the system and to assure data integrity. The audit may be internal or external or be done by an independent third party appointed by either the provider, the customer or both. The service level agreement (SLA) may contain specific performance parameters related to audit, e.g., that the services provided under the contract are certified at least annually by an independent auditor against a security standard identified in the contract.Auditoría: proceso consistente en examinar el cumplimiento de los requisitos legales y contractuales o de normas técnicas. Puede abarcar aspectos técnicos, como la calidad y la seguridad de los equipos físicos y los programas informáticos; el cumplimiento de la normativa aplicable al sector;y la existencia de medidas adecuadas, como el aislamiento, para impedir el acceso no autorizado al sistema o el uso del sistema sin autorización y garantizar la integridad de los datos. La auditoría puede ser interna o externa, o llevarse a cabo por un tercero independiente nombrado por el proveedor, el cliente o ambos. En el acuerdo de prestación de servicios (SLA) pueden establecerse parámetros cuantitativos y cualitativos específicos relacionados con la auditoría, por ejemplo, que un auditor independiente certifique, al menos una vez al año, que los servicios prestados en virtud del contrato cumplen una norma de seguridad indicada en el propio contrato.
Cloud computing services: online services characterized by:Servicios de computación en la nube:
(a) Broad network access, meaning that services can be accessed over the network from any place where the network is available (e.g., through the Internet), using a wide variety of devices, such as mobile phones, tablets and laptops; (b)servicios en línea con las siguientes características: a)acceso amplio a la red: significa que es posible acceder a los servicios a través de la red desde cualquier lugar en que la red esté disponible (por ejemplo, a través de Internet), utilizando muy diversos dispositivos, como teléfonos móviles, tabletas y computadoras portátiles; b)
Metered delivery, allowing usage of the resources to be monitored and charged by reference to level of usage (on a pay-as-you-go basis); (c) Multi-tenancy, meaning that physical and virtual resources are allocated to multiple users whose data are isolated and inaccessible to one another;(d) On-demand self-service, meaning that services are used by the customer as needed, automatically or with minimal interaction with the provider; (e) Elasticity and scalability, meaning the capability for rapidly scaling up or down the consumption of services according to the customer’s needs, including large-scale trends in resource usage (e.g., seasonal effects); (f) Resource pooling, meaning that physical or virtual resources can be aggregated by the provider in order to serve one or more customers without their control or knowledge over the processes involved; (g) A wide range of services from the provision and use of simple connectivity and basic computing services (such as storage, emails and office applications) to the provision and use of the whole range of physical information technology infrastructure (such as servers and data centres) and virtual resources needed for the customer to build its own information technology platforms, or deploy, manage and run customer-created or customer-acquired applications or software. Infrastructure as a service (IaaS), platform as a service (PaaS) or software as a service (SaaS) are types of cloud computing services.sujetos a medición: significa que se puede llevar un registro de los recursos utilizados y cobrarlos en función de su uso (conforme a un régimen de pago por uso); autoservicio a pedido: significa que el cliente utiliza los servicios cuando los necesita, de manera automática o con una interacción mínima con el proveedor; e) elasticidad y escalabilidad: capacidad de ampliar o reducir rápidamente el consumo de los servicios en función de las necesidades del cliente, teniendo en cuenta las grandes tendencias en la utilización de los recursos (por ejemplo, los efectos estacionales); f) combinación de recursos: posibilidad de que el proveedor reúna recursos físicos o virtuales para atender a uno o más clientes sin que estos controlen los procesos involucrados o tengan conocimiento de ellos; g) amplia gama de servicios: abarca desde el suministro y la utilización de la conectividad y los servicios informáticos básicos (como el almacenamiento, el correo electrónico y las aplicaciones de oficina), hasta el suministro y la utilización de la gama completa de la infraestructura física de tecnología de la información (como servidores y centros de datos) y los recursos virtuales necesarios para que el cliente construya sus propias plataformas de tecnología de la información, o despliegue, administre y ejecute las aplicaciones o los programas informáticos creados o adquiridos por él. La infraestructura como servicio (IaaS), la plataforma como servicio (PaaS) o los programas informáticos como servicio (Saas) son tipos de servicios de computación en la nube.
Cloud computing service partners (e.g., cloud auditors, cloud service brokers and system integrators): Persons engaged in support of, or auxiliary to, activities of either the provider or the customer or both. Cloud auditors conduct an audit of the provision and use of cloud computing services. Cloud service brokers or system integrators assist parties with a wide range of issues, e.g., with finding the right cloud solution, negotiating acceptable terms and migrating the customer to the cloud.Colaboradores de los servicios de computación en la nube (por ejemplo, auditores de servicios de nube, intermediarios de servicios de nube o integradores de sistemas): personas que colaboran en las actividades del proveedor, del cliente o de ambos, prestando servicios auxiliares o de apoyo a esas actividades  Los auditores de servicios de nube realizan la auditoría de la prestación y utilización de los servicios de computación en la nube. Los intermediarios de servicios de nube o los integradores de sistemas prestan asistencia a las partes en relación con una amplia gama de cuestiones, por ejemplo, para encontrar la solución de nube más adecuada, negociar condiciones aceptables y migrar los datos y contenidos del cliente a la nube.
Cloud service-derived data: Data under the control of the provider that are derived as a result of the use by the customer of the cloud computing services of that provider. It includes metadata and any other log data generated by the provider containing records of who used the services, at what times, which functions and which types of data are involved. It can also include information about authorized users, their identifiers and any configuration, customization and modification.Datos obtenidos de los servicios de nube: datos bajo el control del proveedor que se obtienen como resultado de la utilización por el cliente de los servicios de computación en la nube de ese proveedor. Entre ellos figuran los metadatos y otros registros de datos generados por el proveedor que contienen información sobre quién utilizó los servicios, durante qué períodos y cuáles fueron las funciones y los tipos de datos utilizados. También pueden abarcar la información relativa a los usuarios autorizados, sus datos identificadores y cualquier configuración, personalización o modificación que se haga de esa información.
Data controller: A person that determines the purposes and means of the processing of personal data.Responsable de los datos: persona que determina los objetivos y medios que han de emplearse para procesar datos personales.
Data deletion: A sequence of operations designed to irreversibly erase data, including its backups and metadata, and other content from the cloud computing infrastructure (physical and virtual). In some cases, data deletion may require the destruction of the physical infrastructure (e.g., the servers) on which the data were stored. The service level agreement (SLA) may contain a specific performance parameter related to data deletion, e.g., that the provider ensures that the customer’s data are effectively, irrevocably and permanently deleted wherever requested by the customer within a certain time period identified in the contract and in compliance with the standard or method identified in the contract.Eliminación de datos: secuencia de operaciones diseñadas para borrar datos de forma irreversible, incluidas sus copias de seguridad, metadatos y otros contenidos de la infraestructura (física y virtual) de computación en la nube. En algunos casos puede ser necesario, para eliminar los datos, destruir la infraestructura física (por ejemplo, los servidores) en que se almacenaron. En el acuerdo de prestación de servicios (SLA) puede establecerse un parámetro cuantitativo o cualitativo específico aplicable a la eliminación de datos, por ejemplo, que el proveedor garantice que los datos del cliente se eliminen de manera efectiva, irrevocable y permanente cuando este lo solicite, en un plazo establecido en el contrato y de conformidad con la norma o el método indicados en él.
Data localization requirements: Requirements relating to the location of data and other content or data centres or the provider. They may prohibit certain data (including metadata and backups) from residing in or transiting into or out of a certain area or jurisdictions or require that prior approval be obtained from a competent State body for that. They are often found in data protection law and regulations, which may in particular prohibit personal data from residing in or transiting into jurisdictions that do not adhere to certain standards of personal data protection.Requisitos de ubicación de los datos: requisitos relativos a la ubicación de los datos y otros contenidos, de los centros de datos, o del proveedor. Pueden entrañar la prohibición de alojar o trasladar determinados datos (como los metadatos y las copias de seguridad) dentro o fuera de una zona o jurisdicción determinada, o la obligación de obtener previamente la autorización de un órgano estatal competente para poder hacerlo. Suelen estar previstos en las leyes y reglamentos sobre protección de datos, que pueden establecer en particular la prohibición de alojar datos personales en jurisdicciones que no respeten determinadas normas de protección de datos personales, o de trasladar datos personales a esas jurisdicciones.
Data processor: A person that processes the data on behalf of the data controller.Procesador de los datos: persona que procesa los datos en nombre del responsable de los datos.
Data subject: A natural person who can be identified, directly or indirectly, by data, including by reference to such identifiers as name, an identification number, location and any factors specific to the physical, genetic, mental, economic, cultural or social identity of the person. In a number of jurisdictions, data subjects enjoy under data protection or data privacy regulations certain rights with respect to the data that can identify them. Those regulations may trigger the inclusion in the service level agreement (SLA) of data protection-specific performance parameters, such as that the services provided under the contract are certified at least annually by an independent auditor against the data protection/privacy standard identified in the contract. (See also data subject’s rights and personal data).Sujeto de los datos: persona física cuya identidad puede determinarse, directa o indirectamente, a través de los datos, por ejemplo, por referencia a datos identificadores como el nombre, un número de identificación, la ubicación y otros factores relacionados con la identidad física, genética, mental, económica, cultural o social de la persona. En varias jurisdicciones, las normas sobre protección o privacidad de los datos confieren a los sujetos de los datos determinados derechos sobre los datos que permiten identificarlos.  Esas normas pueden dar lugar a que se incluyan parámetros cuantitativos y cualitativos específicos sobre la protección de datos en el acuerdo de prestación de servicios (SLA), por ejemplo, que un auditor independiente certifique, al menos una vez al año, que los servicios prestados en virtud del contrato cumplen la norma sobre protección o privacidad de los datos indicada en el propio contrato. (Véanse también las definiciones de derechos de los sujetos de los datos y datos personales).
Data subjects’ rights: Rights associated with data subjects’ perso Data subjects under law may enjoy the right to be informed about all significant facts related to their personal data, including data location, use by third parties and data leaks or other data breaches.nal  They may also have the right to access their personal data at any time, the right to erasure of their personal data (pursuant to the right to be forgotten), the right to restrict processing of their personal data and the right to portability of their personal data.Derechos de los sujetos de los datos: derechos vinculados a los datos personales de los sujetos de los datos. La ley puede otorgar a los sujetos de los datos el derecho a ser informados de todos los hechos importantes que guarden relación con sus datos personales, como la ubicación de esos datos, su utilización por terceros, la filtración de datos u otras violaciones de los datos. Los sujetos de los datos también pueden tener derecho a acceder en cualquier momento a sus datos personales, a que esos datos se eliminen (en virtud del derecho al olvido), a restringir su procesamiento y a que se les garantice la portabilidad de dichos datos.
Deployment models: The various ways in which cloud computing services are organized, based on the control and sharing of physical or virtual resources: (a) Public cloud, where cloud computing services are potentially available to any interested customer and resources are controlled by the provider; (b) Community cloud, where cloud computing services exclusively support a specific group of related customers with shared requirements and resources are controlled by at least one member of that group; (c)Private cloud, where cloud computing services are used exclusively by a single customer and resources are controlled by that customer; (d) Hybrid cloud, where at least two different cloud deployment models are used.Modelos de despliegue: diversas formas de organizar los servicios de computación en la nube sobre la base del control y el uso compartido de los recursos físicos o virtuales. Cabe mencionar los siguientes:a ) modelo de nube pública, en que los servicios de computación en la nube pueden estar a disposición de cualquier cliente interesado en ellos, y el control de los recursos es ejercido por el proveedor; b) modelo de nube compartida, en que los servicios de computación en la nube se prestan exclusivamente a un determinado grupo de clientes relacionados entre sí y con necesidades comunes, y el control de los recursos es ejercido por al menos uno de los miembros de ese grupo; c) modelo de nube privada, en que un único cliente utiliza los servicios de computación en la nube y ejerce el control de los recursos; d) modelo de nube híbrida, en que se utilizan por lo menos dos modelos diferentes de despliegue en la nube.
Downtime or outages: The time when the cloud computing services are not available to the customer. That time is excluded from the calculation of uptime or availability. Time for maintenance and upgrades is usually included in downtime.It may be defined in the service level agreement (SLA) as a number of permissible outages of a specified time duration for a given period, e.g., not more than one outage of one hour per day and not between 8:00 and 17:00.Período de interrupción o corte de los servicios: tiempo durante el cual los servicios de computación en la nube no están a disposición del cliente. Ese tiempo no se tiene en cuenta en el cálculo del período de disponibilidad. El tiempo dedicado a las tareas de mantenimiento y actualización se suele incluir en el período de interrupción de los servicios. El período de interrupción o corte de los servicios puede definirse en el acuerdo de prestación de servicios (SLA) como el número de cortes permitidos de determinada duración en un lapso dado (por ejemplo, no más de un corte diario de una hora de duración y que no se produzca entre las 8.00 y las 17.00 horas).
First response time: The time between when the customer reports an incident and the provider’s initial response to it.Tiempo de respuesta inicial: tiempo transcurrido entre la comunicación de un incidente por el cliente y la respuesta inicial del proveedor.
Follow-the-sun: A model in which the workload is distributed among different geographical locations to more efficiently balance resources and demand. The purpose of the model may be to provide round-the-clock services and to minimize the average distance between servers and end users in an effort to reduce latency and maximize the speed with which data can be transmitted from one device to another (data transfer rate (DTR) or throughput).Aprovechamiento de los husos horarios (“follow the sun”): modelo en que el volumen de trabajo se distribuye entre diferentes lugares geográficos para equilibrar los recursos y la demanda de manera más eficiente. El propósito de este modelo puede ser prestar los servicios de manera ininterrumpida y reducir al mínimo la distancia media entre los servidores y los usuarios finales a fin de disminuir la latencia y aumentar al máximo la velocidad de transmisión de los datos entre un dispositivo y otro (velocidad de transferencia de datos o caudal de datos).
Infrastructure as a service (IaaS): Types of cloud computing services with which the customer can obtain and use processing, storage or networking resources. The customer does not manage or control the underlying physical or virtual resources, but does have control over operating systems, storage and deployed applications that use the physical or virtual resources. The customer may also have limited ability to control certain networking components (e.g., host firewalls).Infraestructura como servicio (IaaS): tipos de servicios de computación en la nube que permiten al cliente obtener y utilizar recursos de procesamiento, de almacenamiento o de redes. El cliente no administra ni controla los recursos virtuales ni los recursos físicos subyacentes, pero tiene el control de los sistemas operativos, el almacenamiento y las aplicaciones instaladas que utilizan esos recursos. Además, la capacidad del cliente de controlar determinados componentes de la red (por ejemplo, los cortafuegos locales) puede estar limitada.
Insolvency representative: A person or body authorized in insolvency proceedings to administer the reorganization or the liquidation of the assets of the insolvent debtor that are subject to the insolvency proceedings.Representante de la insolvencia: persona u órgano autorizado en un procedimiento de insolvencia para administrar la reorganización o la liquidación de los bienes del deudor insolvente sometidos a dicho procedimiento.
Interoperability: The ability of two or more systems or applications to exchange information and to mutually use the information that has been exchanged.Interoperabilidad: capacidad de dos o más sistemas o aplicaciones para intercambiar información entre sí y utilizar esa información.
Intellectual property (IP) licences: Agreements between an IP rights owner (the licensor) and a person authorized to use those IP rights (the licensee). They usually impose restrictions and obligations on the extent and manner in which the licensee or third parties may use the licenced property. For example, software and visual content (designs, layouts and images) may be licensed for specific use, not allowing copying, modification or enhancement, and be restricted to a certain medium. The licences may be limited to a particular market (e.g., national or (sub)regional), a number of users or a number of devices, or may be time-bound. Sub-licensing may not be permitted. The licensor may require reference to be made to the IP rights owner each time the IP rights are used.Licencias de propiedad intelectual (PI): acuerdos celebrados entre un titular de derechos de PI (el licenciante) y una persona autorizada a utilizar esos derechos de PI (el licenciatario). En esos acuerdos se suelen imponer restricciones y obligaciones con respecto a la medida y la forma en que el licenciatario o los terceros pueden utilizar la propiedad intelectual objeto de la licencia. Por ejemplo, se pueden conceder licencias para que se haga un uso específico de determinados programas informáticos y contenido visual (diseños, planos e imágenes), con la prohibición de realizar copias, modificaciones o mejoras de dichos programas y contenido y limitando su utilización a un determinado soporte. Las licencias pueden concederse exclusivamente para un mercado en particular (por ejemplo, nacional o (sub)regional) o un cierto número de usuarios o dispositivos, o por un plazo determinado.Es posible que no se permita conceder sublicencias. El licenciante puede exigir que cada vez que se utilicen los derechos de PI se mencione al titular de esos derechos.
Latency: The delay between a user’s request and a provider’s response to it. It affects how usable the cloud computing services actually are. In the service level agreement (SLA), the latency is usually expressed in milliseconds.Latencia: demora entre la solicitud del usuario y la respuesta del proveedor. Afecta a la utilidad real de los servicios de computación en la nube. En el acuerdo de prestación de servicios (SLA), la latencia suele expresarse en milisegundos.
Layered cloud computing services: Where the provider is not the owner of all or any computing resources that it uses for the provision of the cloud computing services to its customers but is itself the customer of all or some cloud computing services.For example, the provider of platform as a service (PaaS) or software as a service (SaaS) types of service may use storage and server infrastructure (data centres, data servers) owned or provided by another entity. As a result, one or more sub-providers may be involved in providing the cloud computing services to the customer. The customer may not know which layers are involved in the provision of services at a given time, which makes identification and management of risks difficult. Layered cloud computing services are common in SaaS in particular.Servicios estratificados de computación en la nube: servicios en que el proveedor no es propietario de la totalidad o algunos de los recursos de computación que utiliza para prestar los servicios de computación en la nube a sus clientes, sino que él es, a su vez, cliente de la totalidad o algunos de los servicios de computación en la nube. Por ejemplo, el proveedor de servicios de tipo PaaS o SaaS puede utilizar infraestructura de almacenamiento y servidores (centros de datos, servidores de datos) de propiedad de otra entidad o suministrados por otra entidad. Como resultado de ello, en la prestación de los servicios de computación en la nube al cliente podrían participar uno o más subproveedores. Es posible que el cliente no sepa qué proveedores o subproveedores participan en la prestación de los servicios en un momento dado, lo que hace difícil determinar y gestionar los riesgos. Los servicios estratificados de computación en la nube son comunes, especialmente en la modalidad SaaS.
Lock-in: Where the customer is dependent on a single provider because the costs of switching to another provider are substantial. Costs in this context are to be understood in the broadest sense as encompassing not only monetary expenses but also effort, time and relational aspects.Dependencia (“lock-in”): situación en que el cliente depende de un único proveedor porque el costo de cambiar a otro sería demasiado alto.  En este contexto, el costo debe entenderse en el sentido más amplio posible, de modo que abarque no solo el costo económico, sino también el costo en términos de esfuerzo, tiempo y relaciones.
Metadata: Basic information about data (such as author, when the data were created, when they were modified and file size). It makes finding and using the data easier and may be required to ensure the authenticity of the record. It can be generated by the customer or the provider.Metadatos: información básica sobre los datos (como su autor, fecha y hora de creación y de modificación y el tamaño del archivo). Hacen que resulte más sencillo encontrar y utilizar los datos y pueden ser necesarios para garantizar la autenticidad de los registros. Pueden ser generados por el cliente o el proveedor.
Performance parameters: Quantitative parameters (numerical targets or metrics or a performance range) or qualitative parameters (service quality assurances). They may refer to conformity with applicable standards, including the date of expiry of any conformity certification (e.g., that the provider has implemented a key management policy in compliance with the international standard identified in the contract). To be meaningful, the parameters should allow the customer to measure performance that is important to the customer in an easy and auditable way. They could be different depending on the risks involved and business needs (e.g., the criticality of certain data, services or applications and the corresponding priority for recovery). For example, a non-mission critical system that is designed to use the cloud for archival purposes will not need the same uptime or other service level agreement (SLA) terms as mission critical or real-time operations.Parámetros cuantitativos y cualitativos: parámetros cuantitativos (con objetivos, indicadores o rangos de valores numéricos de funcionamiento) o cualitativos (con garantías de calidad de los servicios). Pueden medir la conformidad con las normas aplicables, incluida la fecha de vencimiento de los certificados de conformidad (por ejemplo, que el proveedor haya aplicado una política de administración de claves en cumplimiento de las normas internacionales indicadas en el contrato). Para que tengan sentido, los parámetros deberían permitir al cliente evaluar, de manera sencilla y verificable, los aspectos del funcionamiento de los servicios que sean importantes para él. Pueden ser diferentes en función de los riesgos y las necesidades del negocio (por ejemplo, la importancia crítica de determinados datos, servicios o aplicaciones y las correspondientes prioridades de recuperación). Por ejemplo, un sistema no esencial diseñado para utilizar la nube con fines de archivo no necesitará el mismo período de disponibilidad ni las mismas condiciones previstas en el acuerdo de prestación de servicios (SLA) que las operaciones esenciales o las operaciones en tiempo real.
Persistency of data storage: The probability that data stored in the cloud will not be lost during the contract period. It can be expressed in the contract as a measurable target against which the customer will measure steps taken by the provider to ensure persistency of data storage (e.g., intact data/intact data + lost data during an identified period of time (e.g., a calendar month)). The type of data (e.g., files, databases, codes, applications) and the unit of measurement (the number of files, bit length) would need to be defined in that formula.Permanencia del almacenamiento de los datos: probabilidad de que los datos almacenados en la nube no se pierdan durante el período de vigencia del contrato. Puede indicarse en el contrato como un objetivo mensurable que el cliente utilizará para evaluar las medidas adoptadas por el proveedor para garantizar que los datos permanezcan almacenados (por ejemplo, datos intactos/datos intactos + datos perdidos en un período determinado (por ejemplo, un mes natural)). Convendría definir en esa fórmula el tipo de datos (por ejemplo, archivos, bases de datos, códigos, aplicaciones) y la unidad de medida (el número de archivos, la longitud de bits).
Personal data: Sensitive and non-sensitive data that can be used to identify the natural person to whom such data relate. The definition of personal data in some jurisdictions may encompass any data or information directly or indirectly linked or relating to an identified or identifiable individual (see the data subject).D atos personales: datos confidenciales y no confidenciales que pueden utilizarse para identificar a la persona física a la que se refieren esos datos.  La definición de datos personales en algunas jurisdicciones puede abarcar cualquier dato o información directa o indirectamente vinculada o relacionada con una persona que haya sido o pueda ser identificada (véase la definición de sujeto de los datos).
Personal data processing: The collection, recording, organization, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction of personal data.Procesamiento de datos personales: la recopilación, el registro, la organización, el almacenamiento, la adaptación o la alteración, la recuperación, la consulta, la utilización, la revelación por transmisión, la difusión o cualquier otra forma de puesta a disposición, alineación o combinación, bloqueo, eliminación o destrucción de datos personales.
Platform as a service (PaaS): Types of cloud computing services with which the customer can deploy, manage and run in the cloud customer-created or customer-acquired applications using one or more existing programming languages and execution environments supported by the provider.Plataforma como servicio (PaaS): tipos de servicios de computación en la nube que permiten al cliente desplegar, administrar y ejecutar en la nube aplicaciones creadas o adquiridas por él utilizando al menos uno de los lenguajes de programación y entornos de ejecución ofrecidos por el proveedor.
Portability: The ability to easily transfer data, applications and other content from one system to another (i.e., at low cost, with minimal disruption and without being required to re-enter data, re-engineer processes or re-program applications). This might be achieved if it is possible to retrieve the data in the format that is accepted in another system or with a simple and straightforward transformation using commonly available tools. The service level agreement (SLA) may contain performance parameters related to portability, e.g., the customer data is retrievable by the customer via a single download link or documented application programming interfaces (API); or the data format is structured and documented in a sufficient manner to allow the customer to re-use it or to restructure it into a different data format if desired.Portabilidad: capacidad de transferir datos, aplicaciones y otros contenidos de un sistema a otro fácilmente (es decir, a bajo costo, con el menor trastorno posible y sin necesidad de volver a introducir datos, reorganizar procesos o reprogramar aplicaciones). Esto podría lograrse si fuera posible recuperar los datos en un formato que fuese aceptado por otro sistema o mediante una transformación sencilla y directa utilizando herramientas que estén disponibles normalmente. En el acuerdo de prestación de servicios (SLA) pueden establecerse parámetros cuantitativos y cualitativos específicos relacionados con la portabilidad, por ejemplo, que el cliente pueda recuperar sus datos mediante un único enlace de descarga o interfaces de programación de aplicaciones (API) documentadas; o que el formato de los datos esté suficientemente estructurado y documentado para permitir que el cliente los vuelva a utilizar o los reestructure en un formato diferente, si así lo desea.
Recovery point objectives (RPOs): The maximum time period prior to an unplanned interruption of services during which changes to data may be lost as a consequence of recovery. If RPO is specified in the contract as two hours before the interruption of services, that would mean that all data would be accessible after recovery in the form those data existed two hours before the interruption occurred.Objetivos de punto de recuperación (RPO): período máximo anterior a una interrupción imprevista de los servicios durante el cual pueden perderse los cambios realizados en los datos como consecuencia de la recuperación.Si el período establecido como RPO en el contrato abarca las dos horas anteriores a la interrupción de los servicios, ello significa que tras la recuperación se podrá acceder a todos los datos en la forma en que existían dos horas antes de producirse la interrupción.
Recovery time objectives (RTO): The time period within which all cloud computing services and data must be recovered following an unplanned interruption.Objetivos de tiempo de recuperación (RTO): plazo máximo en que deben recuperarse todos los datos y servicios de computación en la nube a partir de que se produzca una interrupción imprevista.
Reversibility: The process for the customer to retrieve its data, applications and other related content from the cloud and for the provider to delete the customer data and other related content after an agreed period.Reversibilidad: proceso mediante el cual el cliente puede recuperar de la nube sus datos, aplicaciones y otros contenidos conexos y que permite al proveedor eliminar los datos y otros contenidos conexos del cliente una vez vencido el plazo acordado.
Sector-specific regulations: Financial, health, public sector or other specific sector or profession regulations (e.g., attorney-client privilege, medical professional secrecy) and rules for handling classified information (broadly understood as information to which access is restricted by law or regulation to particular classes of persons).Normativa propia de cada sector: normas aplicables a los sectores financiero, sanitario, público u otros sectores o profesiones concretos (por ejemplo, las normas relativas al secreto profesional que deben guardar los abogados y los médicos) y al manejo de la información de carácter reservado (entendida en sentido amplio como la información a la que, por disposición de una ley o un reglamento, solo pueden acceder determinadas categorías de personas).
Security incident: An event that indicates that the system or data have been compromised or that measures put in place to protect them have failed. A security incident disrupts normal operations. Examples of security incidents include attempts from unauthorized sources to access systems or data, unplanned disruption to a service or denial of a service, unauthorized processing or storage of data and unauthorized changes to system infrastructure.Incidente de seguridad: hecho que indica que se ha quebrantado la seguridad del sistema o de los datos o que han fallado las medidas adoptadas para protegerlos. Un incidente de seguridad altera el funcionamiento normal del sistema. Son ejemplos de incidentes de seguridad los intentos de acceso no autorizados al sistema o a los datos, la interrupción imprevista de un servicio o la denegación de un servicio, el procesamiento o el almacenamiento no autorizados de datos y los cambios no autorizados en la infraestructura del sistema.
Service level agreement (SLA): Part of the cloud computing contract between the provider and the customer that identifies the cloud computing services covered by the contract and the level of service expected or to be achieved under the contract (see the performance parameters).Acuerdo de prestación de servicios (SLA): parte del contrato de computación en la nube celebrado entre el proveedor y el cliente en la que se describen los servicios de computación en la nube comprendidos en el contrato y los parámetros a que se espera o se exige que se ajusten esos servicios de conformidad con el contrato (véase la definición de parámetros cuantitativos y cualitativos).
Software as a service (SaaS): Types of cloud computing services with which the customer can use the provider’s applications in the cloud.Programas informáticos como servicio (SaaS): tipos de servicios de computación en la nube que permiten al cliente utilizar las aplicaciones del proveedor en la nube.
Standardized commoditized multi-subscriber cloud solutions: Cloud computing services provided to an unlimited number of customers as a mass product or commodity on non-negotiable standard terms of the provider. Broad disclaimers and waivers of the provider’s liability are common in this type of solution. The customer may be in a position to compare different providers and their contracts and select among those available on the market the most suitable for its needs, but not to negotiate a contract.Soluciones de nube genéricas y estandarizadas para múltiples suscriptores: servicios de computación en la nube prestados a un número ilimitado de clientes como producto masivo o básico en condiciones uniformes y no negociables determinadas por el proveedor. En este tipo de soluciones es habitual encontrar cláusulas que liberan o eximen ampliamente de responsabilidad al proveedor. El cliente quizás pueda comparar diferentes proveedores y sus contratos y seleccionar, entre los disponibles en el mercado, aquel que más se adecue a sus necesidades, pero no puede negociar el contrato.
Uptime: The time when the cloud computing services are accessible and usable. It may be expressed as the amount or percentage, a detailed formula or specific dates or days and time when availability of the service of a particular application is critical.Período de disponibilidad de los servicios: tiempo durante el cual es posible acceder a los servicios de computación en la nube y utilizarlos. Puede expresarse como una cantidad o un porcentaje, una fórmula detallada, o fechas concretas o días y horas específicos en que la disponibilidad del servicio correspondiente a una determinada aplicación resulta crítica.
Written or in writing: Information accessible so as to be usable for subsequent reference. It encompasses information on paper and in an electronic communication. “Accessible” means that information in the form of computer data should be readable and interpretable and that the software that might be necessary to render such information readable should be retained. “Usable” covers both human use and computer processing.Escrito o por escrito: información que sea accesible de modo que pueda utilizarse para su ulterior consulta. Abarca tanto la información que figure en papel como la información contenida en una comunicación electrónica. “Accesible” significa que la información en formato electrónico debe poder leerse e interpretarse, y que los programas informáticos necesarios para que esa información pueda leerse deben conservarse. La posibilidad de “utilizar” la información se refiere tanto a su utilización por el ser humano como a su procesamiento informático.
[1][1]
Official Records of the General Assembly, Sixty-ninth Session, Supplement No. 17 (A/69/17), para. 150;Documentos Oficiales de la Asamblea General, sexagésimo noveno período de sesiones, Suplemento núm. 17 (A/69/17), párr. 150;
ibid., Seventieth Session, Supplement No. 17 (A/70/17), para. 358;ibid., septuagésimo período de sesiones, Suplemento núm. 17 (A/70/17), párr. 358;
and ibid., Seventy-first Session, Supplement No. 17 (A/71/17), para. 229.e ibid., septuagésimo primer período de sesiones, Suplemento núm. 17 (A/71/17), párr. 229.
[2][2]
Ibid., Seventy-first Session, Supplement No. 17 (A/71/17), paras. 235 and 353;Ibid., septuagésimo primer período de sesiones, Suplemento núm. 17 (A/71/17), párrs. 235 y 353;
and ibid., Seventy-second Session, Supplement No. 17 (A/72/17), para. 127.e ibid., septuagésimo segundo período de sesiones, Suplemento núm. 17 (A/72/17), párr. 127.
[3][3]
Ibid., Seventy-third Session, Supplement No.17 (A/73/17), para. 150.Ibid., septuagésimo tercer período de sesiones, Suplemento núm. 17 (A/73/17), párr. 150.
[4][4]
Ibid., Seventy-fourth Session, Supplement No. 17 (A/74/17), para. 151.Ibid., septuagésimo cuarto período de sesiones, Suplemento núm. 17 (A/74/17), párr. 151.
11
For UNCITRAL texts addressing electronic signatures, see the United Nations Convention on the Use of Electronic Communications in International Contracts (New York, 2005), the UNCITRAL Model Law on Electronic Commerce (1996) and the UNCITRAL Model Law on Electronic Signatures (2001).Véanse los textos de la CNUDMI que regulan las firmas electrónicas, a saber, la Convención de las Naciones Unidas sobre la Utilización de las Comunicaciones Electrónicas en los Contratos Internacionales (Nueva York, 2005), la Ley Modelo de la CNUDMI sobre Comercio Electrónico (1996) y la Ley Modelo de la CNUDMI sobre las Firmas Electrónicas (2001).
See also an explanatory text prepared by the UNCITRAL secretariat entitled “Promoting confidence in electronic commerce: legal issues on international use of electronic authentication and signature methods (2007)”, available at https://uncitral.un.org/en/texts/ecommerce.Véase también un texto explicativo preparado por la secretaría de la CNUDMI titulado “Fomento de la confianza en el comercio electrónico: cuestiones jurídicas de la utilización internacional de métodos de autenticación y firma electrónicas (2007)”, publicado en https://uncitral.un.org/es/texts/ecommerce.