Aspectos a tener en cuenta en un Contrato de Software as a Service

Aspectos a tener en cuenta en un Contrato de Software as a Service

El contrato de SaaS viene de la concepción en inglés “Software as a Service” (SaaS), este concepto nace de la nueva manera de distribuir software o programas a los clientes finales.

Antes de la llegada de Internet, el mecanismo por el cual la industria del software hacía llegar su producto a los clientes, era a través de la creación de aplicaciones ejecutables, las cuales se entregaban por medios físicos, tales como diskettes, USB, CD, DVD, entre otros.

¿Qué es un contrato de Software como Servicio?

El modelo de contratos SaaS está basado en negocios con pagos recurrentes. Las suscripciones de Software como Servicio son el lenguaje de la transformación digital. Este cambio de perspectiva ofrece muchas ventajas para diversos tipos de negocios, optimizando los resultados. 

La industria del SaaS cuenta con aplicaciones para todo, desde películas a plataformas de firma de contratos. Algunas de las aplicaciones SaaS más conocidas incluyen Microsoft Office 365, Netflix, DocuSign o Zendesk.

Asimismo, la licencia SaaS sirve como un acuerdo entre el desarrollador de software y el cliente. Los acuerdos de licencia de SaaS tienen como objetivo mantener el cumplimiento del cliente con las pautas y pagos y el compromiso del desarrollador de software de entregar actualizaciones, soporte técnico y privacidad del cliente según lo prometido.

Por otro lado, en un entorno de Cloud computing la gestión de la información está de forma virtual en manos del cliente que contrata los servicios de la nube, que la trata a través de Internet accediendo a soluciones de bases de datos, correo electrónico, o cualquier tipo de aplicaciones de acuerdo con sus necesidades. En función del modelo utilizado, los datos pueden no estar realmente en manos del contratista, toda vez que la propiedad, el mantenimiento y gestión del soporte físico de la información, los procesos y las comunicaciones pueden encontrarse en manos de terceros. El proveedor del servicio puede encontrarse en, prácticamente, cualquier lugar del mundo y su objetivo último será proporcionar los servicios citados optimizando sus propios recursos a través de, por ejemplo, prácticas de deslocalización, compartición de recursos y movilidad o realizando subcontrataciones adicionales.

Elementos esenciales del contrato SaaS

Con las soluciones SaaS, la empresa de software tiene el control de todo el servicio, incluyendo la infraestructura de datos y sistemas de información.

En este sentido, el contrato tiene una importancia primordial en función de:

1. Suscripción: El cliente no paga por una licencia, sino que realiza una suscripción. El contrato, por ende, determina los términos y condiciones de la misma.

2. Calidad del servicio.

3. Disponibilidad del servicio y actualizaciones: Los períodos de disponibilidad de servicio y mantenimiento también deben incluirse en el contrato. Una cláusula a este efecto comprometerá al proveedor de servicios a asegurar la disponibilidad 24/7 del software SaaS a su cliente.

4. Seguridad de los datos: con el objetivo de garantizar la seguridad del servicio y de los datos, las partes se comprometen a dedicar recursos técnicos.

5. Procesamiento de datos: Procesamiento de datos. Esta cláusula del contrato debe especificar entre otros aspectos la garantía de cumplimiento de la normativa vigente en materia de recogida y tratamiento de datos personales, la garantía de informar al cliente en caso de una violación de la seguridad que pueda afectar el tratamiento de los datos, etc. 

Otros aspectos legales a tener en cuenta

La contratación de servicios de SaaS se realizará a través de un contrato de prestación de servicios. Resulta imprescindible que ese contrato incorpore entre sus cláusulas las garantías a las que obliga el RGPD (artículo 28).

Hay que destacar, en primer lugar, que el cliente que contrata  un SaaS tiene una obligación legal de diligencia para, según el artículo 28.1 del RGPD, elegir “únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado”. 

Este deber de diligencia se traducirá, dadas las características propias de estos servicios, en un abanico de requerimientos de información al proveedor de servicios dirigidos a conocer las garantías que ofrece para la protección de los datos personales de los que sigue siendo responsable. Dicha información le resultará imprescindible para decidir sobre la modalidad de nube y el tipo de servicios que contrata y, específicamente, para discriminar cuál o cuáles le ofrecen garantías adecuadas y elegir entre ellos. 

El cumplimiento de este deber de diligencia ha de tener como contrapartida por parte del prestador de servicios de Cloud Computing una correlativa diligencia a la hora de facilitar información, en particular sobre los mecanismos que garantizan el cumplimiento de las obligaciones derivadas de la normativa de protección de datos, para poder considerarlo como un proveedor transparente, como se establece en el art. 28.3 letra h): “pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable”, así como en el párrafo final del mismo artículo «el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.