El objetivo de esta entrada es comentar el paper que con ese título (en realidad su título completo es "Contracts for Clouds: Comparison and Analysis of the Terms and Conditions of Cloud Computing Services") fue publicado por la Queen Mary University of London allá por septiembre de 2010 como primer documento de su Proyecto Nube Legal.
El documento cobra actualidad en estos momentos por el llamamiento para expertos de la Comisión Europea para que se identifiquen los términos contractuales justos y seguros para impulsar la computación en la nube (ver nota de prensa).
Como ya saben los que me siguen porque lo he comentado anteriormente, en mi opinión, este es uno de los aspectos más relevantes para conseguir el esperado despegue de los servicios en la nube que tan prometedor parece a todo el mundo. Cuando los usuarios son preguntados por la razón por la que no usan más los servicios de este tipo, una de las razones que siempre aducen es la falta de confianza, las dudas sobre el proveedor. Y en mi opinión, la razón principal por la que esto ocurre [además de por la falta de transparencia de los operadores sobre las medidas de seguridad que implementan] es porque no existen unas cláusulas contractuales obligatorias para este tipo de servicios.
La forma más fácil de verlo es comparando los servicios en la nube (en particular, los servicios de infraestructura) con el suministro de electricidad. Al fin y al cabo, lo que el usuario quieres es algo muy sencillo: corriente continua a 220V o, en nuestro caso, x capacidad de procesamiento. Ya sé que el mercado eléctrico es un mercado regulado, etc., etc. y que el mercado de servicios de infraestructura no lo es [¿quizás debería serlo?], pero creo que la tranquilidad que da al usuario saber que las cláusulas generales han sido "aprobadas" por la Administración, facilitaría (sin lugar a dudas) que los usuarios accedieran a dicho tipo de servicios.
Ahora bien, ¿qué cláusulas establecer? Aquí es dónde cobra interés el estudio mencionado al principio de esta entrada que, a pesar de tener casi 3 años, muestra unas conclusiones muy útiles (y actuales):
- Identifica 20 elementos relevantes en los términos y condiciones analizados (contrato, ley aplicable, jurisdicción, arbitraje, uso aceptable...)
- Pone de manifiesto la disparidad en la notificación a los usuarios cuando se modifican las condiciones (46 notificados versus 23 no-notificados).
- Existen aspectos que son diametralmente tratados por los proveedores respondiendo al hecho de si se trata de servicios de pago o gratuitos, pero también dependiendo de si están gobernados por las leyes de EE.UU. o de países europeos, o del tipo de servicio (especialmente SaaS vs IaaS [de hecho, yo no veo que esto se pueda aplicar al SaaS, pero si a los IaaS]).
- Otros aspectos son prácticamente comunes a todos como, por ejemplo, los de uso aceptable de los servicios o la limitación de responsabilidad de los consumidores.
- Finalmente, también hay aspectos que están regulados con una gran variación como, por ejemplo, los de actuación en caso de solicitud de revelación de información del cliente o los derechos de propiedad sobre los datos de los consumidores.
- Los proveedores tienden a utilizar como jurisdicción el área en la que se encuentran (esto supone una clara desventaja para los europeos).
- La mayoría de proveedores tienden a limitar y restringir su responsabilidad.
- Muy pocos proveedores incluyen información sobre la forma en la que protegen la privacidad y la protección de los datos.
En resumen, un reto apasionante para los que se apunten al call-for-experts de la Comisión Europea...
... ¿todavía no me sigues en twitter.com/antonio_ramosga?