Aspectos legales del #SaaS
El SaaS como nuevo modelo de negocios
En principio, podemos caracterizarlo como una prestación integral que consiste en poner a disposición del cliente o usuario final el acceso remoto y en tiempo real a un conjunto de herramientas informáticas alojadas en un servidor administrado por el proveedor o un tercero, como así también la prestación de los servicios, no sólo de valor agregado, sino de mantenimiento y soporte propios de la herramienta.El contrato de SaaS implica, entre otras cosas, un nuevo modelo de distribución de software con servicios de valor agregado que proporciona a los clientes el acceso al mismo a través de la red, sin necesidad de realizar inversiones iniciales en concepto de licencias. Los servicios (aplicaciones) que se prestan bajo esta modalidad llegan a cualquier tipo de persona, puesto que se deja de hablar de un esquema de licenciamiento de producto para comenzar a hablar de un esquema de prestación de servicios flexibles con cánones mensuales ajustables de acuerdo a la capacidad de uso.
También implica la posibilidad de no tener personal asignado al mantenimiento de la herramienta y a cada usuario capacitado en el uso de la misma.
Esta modalidad de comercialización de productos y servicios es pionera dentro del modelo “Cloud Computing” tan en boga en estos momentos.
Particularidades del modelo
El modelo incluye, entre otras cuestiones, una especial atención en el cumplimiento de las normas de seguridad de cada país donde se preste el servicio, dado que, por el tipo y modo en que éste se preste, como así también el alcance de la herramienta, podrían existir obligaciones subyacentes relacionadas con la protección de datos personales, confidencialidad y secretos comerciales. Es por eso que, en todo contrato de SaaS como servicio, deben preverse medidas y niveles de seguridad de la información y, también, el proveedor debe asegurarse el cumplimento de las normas de protección de datos personales del país donde se va a ejecutar el contrato.Asimismo, en todos los contratos de provisión de SaaS si el proveedor, eventualmente, llegara a hostear datos personales de clientes de su cliente o llegara a administrar datos personales de terceros, a efectos de limitar su responsabilidad por el cumplimiento de las leyes de datos personales, debería realizar los contratos correspondientes o asegurarse que su cliente no va a alojar en sus servidores datos personales en violación de las normas mencionadas.
Por consiguiente, estas particularidades hacen que la modalidad de SaaS implique un cambio de mentalidad en todo sentido, ya que se dejan de distribuir productos para comenzar a prestar servicios requiriendo especial atención, por lo tanto, al cumplimiento de las normas de Datos Personales (Ley 25.326), de Defensa del Consumidor (Ley 24.240) y de Confidencialidad de la Información (Ley 24.766).
Obligaciones del proveedor
El proveedor asume ciertas obligaciones que son inherentes al modelo, además de las específicas correspondientes al tipo de servicio o funcionalidades que ponga a disposición del usuario final. El cumplimiento de cada una de ellas tendrá impacto en su estructura organizacional y en la previsión de eventuales contingencias.1. Garantía de disponibilidad del servicio
Se relaciona con el estado funcional del servidor. El cumplimiento de esta obligación es inherente al modelo e involucra aspectos tales como:
- Garantía de Acceso: implica garantizar el acceso a las prestaciones comprometidas bajo un nivel de servicios básico, previendo para ello horarios de mantenimiento, de uso restringido, tiempo normal de fallas, etc.
- Previsiones sobre crecimiento de la capacidad de almacenamiento y tráfico de datos a fin de evitar el colapso del servicio y poder adecuar el valor del mismo al nivel de uso del cliente, de modo de establecer parámetros dinámicos de precios.
Por su parte, dentro de la Garantía de Acceso el modelo implica, per se, el aseguramiento de “acceso seguro” mediante estándares de seguridad del servidor, a fin de evitar infiltración de datos privados, datos personales, integridad de la información, resguardo de la misma, etc. De este modo, es fundamental el establecimiento de medidas contra incendio, cortes de energía, etc., el cumplimiento de normas de seguridad y contingencias en el suministro de energía eléctrica (existencia de UPS, grupo electrógeno, etc.), así como poseer políticas sobre registros de incidentes de seguridad y sus respuestas.
2. Garantía de Seguridad de la información
Además de la disponibilidad del servicio de modo prácticamente ininterrumpido o con cortes programados en horarios donde no se afecte el nivel de servicio, el proveedor debe asegurar la seguridad en el almacenamiento de datos, no sólo por el cumplimiento de normas legales sino por el valor que el usuario o cliente le da a su información al momento de decidir tercerizar su almacenamiento. Esto, toda vez que en muchos casos la decisión de optar por un modelo SaaS radica, entre otras cosas, en trasladar el riesgo de la guarda de la información a un tercero especializado en esas cuestiones.
En este sentido, entonces, implica una obligación propia del modelo asegurar los niveles de seguridad de almacenamiento de datos, asumir la responsabilidad por la realización de backups, establecer la frecuencia y lugares de almacenamiento de los mismos, determinar cuáles de estos se pueden almacenar limitando o restringiendo su almacenamiento.
Obligaciones del usuario
El usuario asume, a su vez, ciertas obligaciones, además de la del pago del servicio contratado, tales como:- Responsabilidad en la utilización del servicio, resguardo de las claves de acceso proporcionadas por el proveedor, cumplimiento de las políticas de seguridad y almacenamiento impartidas por el proveedor.
- Responsabilidad por el contenido de los datos que almacena dado que el proveedor le ha indicado previamente las limitaciones de almacenamiento.
- Dependiendo del lugar de ejecución del contrato, responsabilidades inherentes a la protección de los datos personales que almacene o procese. De este modo, debe asegurarse de realizar las inscripciones correspondientes para acreditar ser el titular y responsable del registro (o en su caso, de la cesión); responde por las medidas de seguridad propias y del proveedor en lo que hace a datos personales y responde en caso de tratamiento de datos de terceros.
Dependiendo del lugar de cumplimiento del contrato, el usuario deberá prever estas cuestiones detalladas, relacionadas con la protección de datos personales, las que, por su carácter local y de orden público, son irrenunciables e indelegables.
Para ello el usuario final deberá merituar el alcance del servicio que solicita e informar a su proveedor en caso realizar cesión de datos personales de terceros o encargar su tratamiento al proveedor, de modo tal de asegurar el cumplimiento de las normas relacionadas con su protección.
Previsiones Generales
Teniendo en cuenta la índole de las prestaciones comprometidas por ambas partes, es fundamental prever qué ocurrirá con el acceso a la información almacenada ante ciertas circunstancias:- Incumplimientos de las obligaciones por parte del cliente.
- Al momento de la conclusión de la relación.
- Causales de limitación de responsabilidad: siendo que el usuario final delega en el proveedor el resguardo de la información a la que accede o que procesa con el servicio contratado. La existencia de este tipo de cláusulas, es una buena práctica de modo tal de dimensionar las contingencias que se asumen con el modelo implementado.
El valor que cada empresa le da a su información es variable, por lo que es vital para el proveedor informático parametrizar y tabular el riesgo. La previsión de estas cuestiones no es menor dado que el cliente o usuario final delega en el proveedor el resguardo de su información y una prohibición, suspensión o demora en el acceso a la misma podría acarrear responsabilidades innecesarias al proveedor, si dichas circunstancias no se encuentran previstas de antemano.
Esto, toda vez que el valor de la información cedida para ser resguardada es merituada por cada parte de modo diferente pudiendo generar controversias o reclamos por eventuales daños en casos de suspensión de acceso por incumplimiento de las obligaciones asumidas. En este sentido, la proporcionalidad de la sanción que imponga el proveedor ante el incumplimiento puede ser fuente de obligaciones de resarcimiento si no hubieren sido establecidas con anterioridad.
Asimismo, la facultad de disponer (para su destrucción únicamente) de la información y con qué alcance a la finalización por cualquier causa del contrato debe ser materia de previsión contractual, atento que el usuario final probablemente haya almacenado información con valor comercial, información de terceros respecto de los cuales se convirtió en su guardián en virtud de alguna relación contractual (convenio de confidencialidad) y existan datos personales de terceros.
Es por ello que se deben prever cuestiones tales
- Destrucción de soporte material en poder del cliente.
- Disponibilidad de datos almacenados en el servidor administrado por el proveedor.
- Suspensión de acceso ante incumplimientos materiales del cliente.
En los modelos en los que existe delegación de funciones (como el modelo SaaS) adquiere fundamental relevancia la previsión de las cuestiones delegadas a fin de evitar la asunción de responsabilidades no previstas.
Por Macarena Pereyra Rozas
No hay comentarios.