No es una novedad que el acceso a información se ha convertido en una necesidad inherente en la actualidad. Lo que muchos llaman la Cuarta Revolución Industrial ha hecho replantear la manera en que la sociedad interactúa y la forma en que las relaciones jurídicas que se construyen, sobre todo, a través de medios tecnológicos. En esa medida, la territorialidad ha pasado a un segundo plano y en muchas situaciones las fronteras se vuelven accesorias, pues dos personas no necesariamente tienen que estar presencialmente en el mismo lugar para poder interactuar o entrelazar un vínculo contractual.

En ese contexto, la computación en la nube (“Cloud Computing”) es un tipo de tecnología que permite gestionar servicios informáticos a través de la red de internet. Es una herramienta de gran utilidad que garantiza un uso eficiente y económico de recursos. Así, cualquier servicio de almacenamiento, acceso o procesamiento de datos, puede prestarse de manera remota.

El Cloud Computing, al ser un fenómeno tecnológico relativamente reciente y, dado el auge de este tipo de servicios por motivos del teletrabajo y el aprendizaje remoto, es imperante preguntarse por las relaciones jurídicas y las consecuencias que se derivan de la contratación de estos servicios. Este artículo tiene como propósito reflexionar sobre los retos regulatorios derivados de la atipicidad de los contratos de Cloud Computing, la asimetría que puede presentarse en este tipo de contratos cuando una de las partes es consumidor, y la ley aplicable al mismo. Esto último porque las partes no necesariamente se encuentran dentro del mismo territorio.

Para lo anterior, este texto estará dividido en las siguientes dos partes: (i) la primera dedicada a la descripción del contrato de Cloud Computing y su regulación y, (ii) la segunda, en la que se estudiará cuál es el escenario de los derechos del consumidor que haga parte de este tipo de contratos.

El contrato de Cloud Computing -regulación y características-

Los servicios de computación en la nube permiten que un consumidor acceda a los recursos informáticos configurables con la mínima intervención del proveedor del servicio. Así, por ejemplo, el almacenamiento y administración de información, que antes el consumidor realizaba de manera local, ahora puede ejecutarse a través de la red de internet[1]. Esta tecnología implica que el proveedor del servicio suministre al consumidor la infraestructura, software o plataforma para que este último gestione la información requerida. De esta forma, al compartir un hardware y un software como lo son las plataformas, licencias, capacidad de almacenamiento y servicios con muchos consumidores, con un alto nivel de disponibilidad, flexibles y por demanda, se reducen tiempos de acceso y costos[2].

Existen tres tipos de servicios que pueden prestarse a través del modelo de Cloud Computing, a saber; Plataforma como servicio (“PaaS”), Infraestructura como servicio (“IaaS”), y Software como servicio (“SaaS”). Para efectos del presente artículo discutiremos este último. Por medio del SaaS el consumidor accede directamente a un navegador web y no debe instalar un software de manera local. En esa medida, puede utilizar las aplicaciones del proveedor a través de una infraestructura en la nube de forma gratuita u onerosa (i.e. Google Drive, Office 365, Dropbox).

Si bien los servicios de Cloud Computing  parecen encontrar una identidad dentro del género de los contratos de prestación de servicios -prestación de servicios en la nube- lo cierto es que, por las especificidades que demanda y la escasa referencia normativa de dicho contrato, se considera que el mismo es atípico y que tiene afinidad con el contrato de suministro, en particular, un suministro de servicios.

Explicando lo anterior, los contratos que no encajan en ningún tipo establecidos en la ley -contratos atípicos- se deben ajustar por analogía al tipo contractual afín o por los principios generales del derecho de las obligaciones y contratos, y, a título complementario, por el arbitrio judicial, en el entendido de que estos criterios deben ser coherentes con la autonomía de la voluntad de las partes[3]. En esa medida, el contrato de suministro, por medio del cual una parte denominada proveedor se obliga a ejecutar una o varios prestaciones periódicas o continuadas de cosas o servicios a favor de otra parte denominada consumidor a cambio de un precio de forma independiente y estable[4], puede resultar útil para evaluar el contrato de Cloud Computing. Lo anterior, en razón de que el proveedor del servicio de cloud se obliga con el consumidor a suministrarle un servicio de software de forma periódica y, en muchos casos, a cambio de una contraprestación.

De todo lo dicho puede sintetizarse lo siguiente: el contrato de Cloud Computing se caracteriza por ser atípico, bilateral, de tracto sucesivo, comercial, principal, en donde hay lugar a unas prestaciones económicas que se suministran según las necesidades del consumidor y cumpliendo con el principio de pagar por el software utilizado[5]. Así bien, como obligaciones relevantes, debe destacarse que el proveedor del servicio debe velar por que la información sea accesible y se mantenga en su integridad. En efecto, se despliega una obligación de custodia y de posterior devolución de la información, en las mismas condiciones en las que fue entregada, o destrucción de ésta una vez se termine el vínculo contractual. Al estar ante una obligación de no hacer, ya que el proveedor tiene el deber de no manipular la información, estamos también ante una obligación de lograr un resultado específico, el cual será posible cumplir en el orden normal de las cosas y el deudor sólo podrá exonerarse por caso fortuito, fuerza mayor o culpa del consumidor[6].

Cloud Computing y protección al consumidor

Ahora bien, uno de los mayores retos en los contratos de Cloud Computing es que la autonomía de la voluntad privada se encuentra limitada muchas veces por una voluntad reglamentaria emitida por un agente que impone las condiciones que regirán la relación jurídica. Por ende, el consumidor desempeña un papel pasivo y se limita a aceptar las condiciones impuestas por la otra parte. Esto es problemático pues el consumidor no podrá negociar las cláusulas del contrato, lo que implica una desproporción entre las partes. Sin embargo, la igualdad jurídica es en realidad la condición necesaria para la validez de los contratos y, si el consumidor manifiesta voluntariamente su aceptación, habiendo podido no hacerlo, el contrato tendrá efectos jurídicos para las partes[7].

¿Quién protege entonces al consumidor cuando se encuentra sometido a la voluntad del proveedor del servicio de Cloud Computing? Para evitar cláusulas leoninas, el Estatuto del Consumidor[8] podría dar luces para la interpretación de estos contratos y, de manera complementaria, el inciso 2do del artículo 1624 del Código Civil. De esta manera, la interpretación de las cláusulas dudosas de los contratos por adhesión sería interpretada en favor del adherente. No obstante, no siempre el consumidor podrá ser protegido por la ley colombiana. Debe tenerse en cuenta que, el artículo 50 de la Ley 1480 de 2011 establece que la territorialidad de la ley colombiana aplica a los expendedores y proveedores ubicados en el territorio nacional. En efecto, esta norma no ampara a las compañías que presten servicios cloud en el país y no tengan una sede física en Colombia[9]. La ley aplicable al contrato se convierte en una dificultad para el consumidor cuando el proveedor del servicio se encuentra fuera del territorio colombiano.

En línea con lo anterior, y desde la perspectiva de la Protección a los Datos Personales del consumidor, por la naturaleza del servicio de cloud, el proveedor recolecta datos de diferentes consumidores y los almacena en sus servidores[10], lo que implica en muchas ocasiones una transferencia de datos personales a terceros países. En materia de transferencia de datos personales a terceros países debe aplicarse lo que se conoce como “principio de continuidad”. Como desarrollo de ese principio, la regulación colombiana en materia de Transferencias Internacionales previstas en el artículo 26 de Ley Estatutaria 1581 de 2012 y el Título V de la Circular Única de la Superintendencia de Indutria y Comercio buscan que no se disminuya o desaparezca el nivel de protección de datos que tienen las personas bajo las leyes colombianas cuando sus datos son exportados a otros países.

Al respecto, la Corte Constitucional en sentencia C-748 de 2011[11] señaló lo siguiente:

“(….)la transferencia internacional de datos es viable si se establece que el país importador ofrece garantías comparables de protección a las ofrecidas por el país exportador. En este sentido, (…) se entenderá que un país cuenta con los elementos o estándares de garantía necesarios para garantizar un nivel adecuado de protección de datos personales, si su legislación cuenta; con unos principios, que abarquen las obligaciones y derechos de las partes (titular del dato, autoridades públicas, empresas, agencias u otros organismos que efectúen tratamientos de datos personales), y de los datos (calidad del dato, seguridad técnica) y; con un procedimiento de protección de datos que involucre mecanismos y autoridades que efectivicen la protección de la información. De lo anterior se deriva que el país al que se transfiera los datos, no podrá proporcionar un nivel de protección inferior al contemplado en este cuerpo normativo que es objeto de estudio. (…)”.

De esta manera,  se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la Ley Estatutaria 1581 de 2012 exige a sus destinatarios[12]. Ahora bien, una vez los datos sean transferidos a un tercer país, la ley colombiana ya no cobijará al consumidor y el Tratamiento de dichos datos quedará sujeto a la jurisdicción aplicable del país donde se realice dicho Tratamiento.

En conclusión, la discusión con respecto a las barreras impuestas por la territorialidad es latente en la actualidad. Los avances tecnológicos se han acelerado por los sucesos derivados de la pandemia y los datos viajan entre jurisdicciones con la incertidumbre de si la protección a los mismos, en la práctica, puede considerarse una realidad. En ese escenario, el derecho se enfrenta a una realidad retadora y las medidas jurídicas que se tomen con relación a los contratos realizados por medios tecnológicos, como el de Cloud Computing, y a la transferencia internacional de datos, deben lograr ser una protección efectiva a los ciudadanos, sin que ello signifique un freno a la tecnología y los avances que esta genera.

Referencias

[1] (Casación 31 de mayo de 1938 GJ t XLVII pág. 570). 

[2] (Casación 31 de mayo de 1938 GJ t XLVII pág. 570).

[3] (Casación 31 de mayo de 1938 GJ t XLVII pág. 570).

[4] Código de Comercio de Colombia art. 968.

[5] Moreno Gómez, G. (2013). Jurisdicción aplicable en materia de datos personales en materia de cloud computing: Análisis bajo la legislación colombiana. Revista Derecho Privado Universidad de los Andes, N 09. Bogotá, Colombia.

[6] Tamayo, (2011). Tratado de Responsabilidad Civil, Tomo I.

[7] Ospina, G. Ospina, E. (2016). Teoría General del Contrato y del Negocio Jurídico. Séptima Edición. Editorial Temis.

[8] Ley 1480 de 2011.

[9] Moreno Gómez, G. (2013). Jurisdicción aplicable en materia de datos personales en materia de cloud computing: Análisis bajo la legislación colombiana. Revista Derecho Privado Universidad de los Andes, N 09. Bogotá, Colombia.

[10] Ibídem.

[11] Corte Constitucional C-748 de 2011. M.P. Jorge Ignacio Pretelt Chaljub.

[12] Ley 1581 de 2012.