Contrato cloud y salida de proveedor: qué prever en el acuerdo
No es un problema técnico: es contractual. La posibilidad de salir de un proveedor cloud sin pérdida de datos o servicio depende de las cláusulas del contrato sobre portabilidad, entrega de datos y soporte de migración. Primer paso: exigir en el acuerdo términos claros sobre cómo se devolverán los datos y quién asume los costes y responsabilidades durante la transición.
¿Necesitas abogados de derecho tecnológico?
Compara abogados especializados y elige con calma. Análisis de tu caso gratuito.
Ver abogados Sin compromiso · GratisAbogados especializados en este caso
¿Tienes razón?
Si su miedo es perder datos o quedará atado indefinidamente al proveedor, lo que determina su posición son las disposiciones contractuales: cláusulas de niveles de servicio (SLA), derechos de acceso a los datos, formatos de entrega, responsabilidades sobre backups y medidas de seguridad, y reglas sobre la resolución del contrato. También importa el modelo de servicio (IaaS, PaaS, SaaS) porque cada uno implica distintos niveles de control sobre los datos y la capa de software.
Si el contrato no regula la salida de manera clara o limita la exportación a formatos propietarios sin documentación, su capacidad de migrar sin riesgo es baja. Si el contrato prevé entregas en formatos estándar, plazos razonables y apoyo en la exportación, su posición es fuerte. Además, revise si el proveedor subcontrata servicios o almacena datos en terceros o fuera del país, ya que eso afecta cumplimiento normativo y responsabilidad.
Cómo se soluciona
1) Defina en el contrato el alcance exacto de los datos y artefactos que deben entregarse al finalizar la relación: bases de datos, backups, configuraciones, claves de cifrado, imágenes de máquinas virtuales y documentación operativa. Fije formatos abiertos o estándar que faciliten la importación a otro proveedor.
2) Incluya cláusulas de exportación y portabilidad. Establezca quién es responsable de ejecutar la exportación, el método (por ejemplo, exportación encriptada a depósito controlado por el cliente) y qué soporte técnico se entregará. Determine quién asume costes de transferencia y cuánto tiempo el proveedor mantendrá acceso para permitir la migración.
3) SLA y continuidad operativa durante la salida. Asegure que el SLA cubra el periodo de transición y que haya compromisos de disponibilidad mientras se realiza la migración. Prevea penalidades o créditos si el proveedor no cumple con la ayuda pactada para la salida.
4) Custodia de claves y cifrado. Si los datos están cifrados con claves gestionadas por el proveedor, pacte la entrega de claves o un método para recuperar datos. Evite depender exclusivamente de claves retenidas por el proveedor; considere claves gestionadas por usted o por un tercero de confianza.
5) Backups y retención. Pacte la obligación del proveedor de entregar copias completas de los backups en formato accesible y establezca plazos y procedimientos para su recepción. Determine quién es responsable de la integridad y de la verificación de las copias entregadas.
6) Seguridad y cumplimiento. Exija evidencia de cumplimiento con estándares de seguridad y de protección de datos, y pacte la asistencia para cumplir con requisitos regulatorios aplicables en Colombia. Si sus datos incluyen información personal sensible, defina obligaciones específicas de seguridad y notificación.
7) Auditoría y prueba de migración. Incluya la posibilidad de realizar pruebas parciales de migración y auditorías técnicas para validar que los datos recibidos son íntegros y completos antes de la terminación definitiva.
8) Subcontratación y cadena de suministro. Exija transparencia sobre subcontratistas y la posibilidad de auditoría o aprobación de centros de datos donde se alojan sus servicios. Esto es clave para riesgos regulatorios y de seguridad.
Qué puede hacer ahora: solicitar un anexo de salida al proveedor y realizar una prueba de exportación. Lo que precisa un abogado: redactar cláusulas específicas sobre entrega, responsabilidades y penalidades, y revisar riesgos regulatorios.
Qué puede pasar
1) Se arregla con buena documentación y migración asistida. Lo común es que, con cláusulas claras, ambas partes coordinen la exportación y la migración sin conflicto.
2) Acuerdo o conciliación sobre costes y plazos. Si surgen discrepancias sobre la integridad de los datos o costes de transferencia, puede negociarse un acuerdo para cubrir pruebas, compensaciones o soporte adicional. Un acuerdo suele ser preferible por su rapidez.
3) Litigio por incumplimiento. Si el proveedor se niega a entregar datos, entrega material incompleto o impide la migración, puede iniciarse un proceso civil por incumplimiento contractual. Si la demanda prospera, el tribunal puede ordenar entrega y fijar indemnización; si la contraparte es insolvente, la ejecución puede ser difícil.
¿Y si gana, cobra? La sentencia puede reconocer daños y ordenar cumplimiento, pero la ejecución práctica de indemnizaciones depende de la capacidad patrimonial del proveedor y de medidas cautelares que se hubieran solicitado para preservar activos o datos.
Errores que arruinan el caso
- No pactar formatos estándar de entrega; depender de formatos propietarios dificulta la migración.
- No prever la entrega de claves de cifrado o de acceso administrativo al final del contrato.
- No realizar pruebas previas de exportación antes de la emergencia; las pruebas detectan problemas a tiempo.
- Firmar SLAs vagos sobre continuidad durante la salida sin penalidades claras.
- Ignorar la subcontratación del proveedor y dónde se almacenan físicamente los datos, con impacto en cumplimiento normativo.
¿Necesitas un abogado para esto?
Puede negociar algunos puntos técnicos con su equipo TI, pero conviene tener abogado para redactar las cláusulas de salida, SLAs y penalidades: esos textos determinan su capacidad de migrar y de proteger datos sensibles. Si el contrato es con un proveedor grande o implica datos personales, un abogado también le ayuda a evaluar riesgos regulatorios y a negociar la entrega de claves y backups.
Casos relacionados
Otros problemas frecuentes en abogados de derecho tecnológico
Preguntas frecuentes sobre este caso
Sí puede pactarlo contractualmente. Si las claves las gestiona el proveedor, sin una cláusula de entrega puede quedar sin acceso a sus datos. Exija mecanismos claros de recuperación o gestion de claves de manera externa.
Debe exigir al menos exportaciones en formato interoperable o herramientas de migración. Si el contrato no lo prevé, la exportación puede ser difícil y costosa; por eso es mejor dejarlo establecido desde el inicio.
Es un punto negociable: en muchos contratos se distribuye el coste, pero conviene dejarlo por escrito para evitar sorpresas. Incluya además penalidades si el proveedor obstaculiza la transferencia.
Sí. Hacer pruebas parciales ayuda a verificar formatos, tiempos y costes y a ajustar cláusulas contractuales antes de firmar definitivamente.
Sí. Si sus datos salen del país o se alojan en terceros, eso afecta cumplimiento normativo y responsabilidades. Exija transparencia y condiciones sobre dónde se almacenan y cómo se protegen esos datos.
¿Necesitas resolver este problema legal?
Te conectamos con los mejores abogados especializados. Consulta gratuita y sin compromiso.