Derecho

Derecho

Ágora Mercatorum
Menú
11 de diciembre de 2025

LOS CONTRATOS DE COMPUTACIÓN EN LA NUBE Y LA PROTECCIÓN DE DATOS

Por: Mario Francisco Barraza Laverde*

Los servicios de cloud computing son esenciales para la era digital en la que vivimos. Facilitan el almacenamiento de información a las empresas de diferentes sectores de la economía. En ese sentido, los contratos para adquirir este tipo de servicios tienen características propias y específicas por la especialización en su objeto. Con este texto se busca presentar, de forma general, los elementos de la contratación en la nube o cloud computing. Ello con el fin de analizar cuál es su estado actual en el ordenamiento jurídico colombiano y los retos que este tipo de contratos plantea para el derecho. 

El cloud computing o computación en la nube según definición del National Institute of Standars and Technology(agencia federal de E.E.U.U. encargada de la innovación y competitividad industrial) es: “un modelo que permite el acceso ubicuo, conveniente y bajo demanda a una reserva compartida de recursos informáticos configurables ( por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se pueden  aprovisionar y liberar rápidamente con un esfuerzo mínimo de gestión o interacción con el proveedor de servicios”.[1]

Una de las principales funciones económicas del contrato consiste en ahorrar a las empresas los gastos en servidores físicos o digitales propios para el  almacenamiento y administración de la información de sus usuarios. También se le han reconocido otras funciones a este contrato como la accesibilidad a la información de manera permanente y la inmediatez en dicho acceso. [2] Por ejemplo, una entidad financiera con millones de datos sobre sus usuarios ahorra dinero al decidir contratar con otra su almacenamiento y administración en lugar de construir o desarrollar ella misma la infraestructura necesaria para ello. . 

Modelos de contratación, partes y precio

La provisión de estos servicios es instrumentalizada a través de contratos.  Su contratación puede ser unilateral o negociable: 1) Modelo Unilateral: es aquel en el cual existe un proveedor gratuito del servicio. Implica un servicio estándar y gratuito que permite al usuario acceder a sus datos y a los servicios provistos (correo electrónico, repositorios de almacenamiento, etc.) desde cualquier dispositivo. Un ejemplo es cuando se abre una cuenta de e-mail que permite almacenar una cantidad de información por su sola creación[3]2) Modelo negociable: normalmente se denomina así para relaciones B2B (Business to business) ya que permite la personalización del contrato frente a sus cláusulas de seguridad y riesgos, lo que es esencial para el tratamiento de información sensible de los usuarios finales de las empresas beneficiarias[4].

Así, las partes del contrato son un proveedor y una persona natural o jurídica, beneficiaria del servicio. Para transacciones B2B su precio se determina por la cantidad de datos y el número de usuarios que hacen uso de él[5]

Modelos de servicio de computación en la nube

A su vez, existen modelos de servicios de cloud computing: 1) Infraestructura como servicio (Iaas): provee al usuario final acceso a la infraestructura de procesamiento y de almacenamiento, a las redes y otros recursos del servidor y sistema de control; 2) Plataforma como servicio (Paas): proporciona una plataforma en la nube completa bajo demanda para desarrollar, ejecutar y mantener aplicaciones como traductores, servicios de librerías y otros; 3) Software como servicio (Saas): Implica un software alojado en la nube que se entrega a través de internet y el cual el proveedor administra y desarrolla. Los modelos no son excluyentes y su contratación combinada dependerá de las necesidades de la empresa en específico.[6]

Tipos de nube

Por otro lado, hay cuatro tipos de nubes a los cuales se pueden acceder por medio de estos contratos[7] :1) Nubes privadas: implica un servicio proveído exclusivamente entre una empresa con una multiplicidad de usuarios: 2) Nubes comunitarias: en esta existe un grupo de usuarios que pueden ser tanto públicos como privados y que, pese a ser diferentes unidades empresariales, se entienden conectadas a un mismo proyecto. Por ejemplo, una nube que contiene información de bancos interconectados con agencias cambiarias; 3) Nubes públicas: busca ser abierta al público y provee espacio de almacenamiento en aplicaciones y sistemas accesibles por los usuarios finales; 4) Nubes híbridas: permite que los usuarios finales individuales, las organizaciones públicas y privadas interactúen con un público determinado por los usuarios finales de la red. 

Riesgos

Como servicios de almacenamiento de datos o información de personas naturales y/o jurídicas, estos contratos exigen altos niveles de seguridad, protección y control de datos. Este es uno de los puntos más discutidos en las etapas de negociación por la eventual responsabilidad que puede generar [8].  Es así como los beneficiarios de estos servicios optan por solicitar a los proveedores que se envíe la información sobre los estándares, políticas de seguridad  y medidas para la protección de datos que se toman.[9] Algunos beneficiarios incluso han llegado a negociar que se les permita realizar visitas físicas a los sitios de almacenamiento[10].

Un caso importante sobre este tipo de violaciones de seguridad de los datos fue el caso Stratfor. Esta compañía estadounidense sufrió un hackeo en su nube en el 2011con el que se obtuvieron ilegalmente alrededor de 900.000 correos electrónicos y la información de más de 68.000 tarjetas de crédito. La información no sólo era de Stratford, también incluyó la de otros clientes de esta como Sony, las Naciones Unidas, Google, HSBC, Bank of America, entre otros [11] .

En ese sentido, los riesgos mayormente asociados a este tipo de servicios se refieren a la seguridad, privacidad y confidencialidad de la información que es almacenada y administrada por los proveedores. 

Regulación y lineamientos en Colombia

La protección de los datos y la información que es almacenada y administrada por los provedores de estos servicios resulta esencial. Por ello, tanto las empresas proveedoras como beneficiarias deben cumplir con lo dispuesto en la Ley 1581 de 2012 Sobre Protección de Datos Personales y el Decreto 1074 de 2015 que regula dicha ley. 

En el 2015 la Superintendencia de Industria y comercio profirió a modo de recomendación una cartilla sobre “Protección de los datos personales en los servicios de computación en la nube”.   Para efectos de la protección de datos, se dispone que el control y la responsabilidad en el tratamiento de los datos siempre estará en cabeza del responsable, es decir, la empresa colombiana beneficiaria.[12] .

Por su lado, la Superintendencia Financiera en Circular Externa 005 del 2019 adicionó el Capítulo VI al Título I de la Parte I de su Circular Básica Jurídica determinando reglas para servicios de computación en la nube. Dentro de las obligaciones generales allí contenidas se resaltan de manera general: 1) garantizar un mínimo de disponibilidad por el proveedor; 2) establecer mecanismos de respaldo de la información; 3) mantener cifrada la información clasificada en tránsito o en reposo; 4) tener bajo su control la administración de usuarios y privilegios de acceso, entre otras que pueden ser consultadas en dicho documento. 

Cabe mencionar que esta circular tiene por ámbito de aplicación a las entidades sometidas a la inspección, vigilancia y control de la Superintendencia Financiera, siempre que se trate de procesos y actividades de computación en la nube que apoyen sus proceso misionales de gestión contable y financiera[13].

Para las entidades públicas que utilizan este tipo de servicios el Ministerio de Tecnologías de la información y las comunicaciones expidió en abril del presente año la versión más actualizada de la guía sobre Lineamientos de seguridad en la información para el uso de servicios en la nube. Este documento está soportado en lineamientos de estándares internacionales como la ISO/IEC 27017 e ISO 27001-2022. En materia de proveedores, se le exige a las entidades públicas que sus proveedores declaren explícitamente la ubicación física de los centros de datos donde se almacenará o procesará la información[14].

Conclusión

Los contratos de computación en la nube son esenciales para el desarrollo de empresas que requieran almacenar y administrar información o datos. A través de estos contratos se pueden acceder a diferentes tipos de servicios de almacenamiento. En Colombia no existe actualmente una regulación completa para los mismos salvo las reglas de protección y seguridad de datos para entidades financieras beneficiarias de servicios de computación en la nube contenidas en Circulares Externas de la Superintendencia Financiera de Colombia, las recomendaciones definidas por la Superintendencia de Industria y Comercio y los lineamientos del MinTIC para empresas del sector público. Sin embargo, es necesario prestar atención a dichas disposiciones de cara a la protección de la información y los datos personales de los usuarios, punto esencial en estos modelos de contratación. 

*Estudiante de Quinto año de Derecho de la Universidad Externado de Colombia y Monitor del Departamento de Derecho Comercial

[1] National Institute of Standars and technology. Departamento de comercio de los E.E.U.U. The NIST Definition of cloud computing. (2011). NIST SP 800-145, The NIST Definition of Cloud Computing

[2] Noble, T. Navigating through the fog of cloud  computing contracts . John Marshall Journal of Information Technology & Privacy Law.  Vol 30. (2013) p.14

[3] TFG_InfyDoc_CortesGarcia_Pedro_SI_80_2016-2017.pdf. p. 19.

[4] Ibid. p. 20. 

[5] ASOBANCARIA. Semana económica. Computación en la nube para entidades financieras: ¿Qué se debe tener en cuenta? (2018). P. 2.

[6] China, C. & Goodwin, M. International Business Machines Corporation. Iaas, Paas, Saas: ¿cuál es la diferencia? | IBM Consultado el 11 de noviembre de 2025 en: https://www.ibm.com/mx-es/think/topics/iaas-paas-saas

[7] Aldabousi, A. M. (2023). The legal problems facing the conclusion of cloud computing contracts. Universidad y Sociedad, 15(3), p. 605.

[8] Hon, W et all. Negotiated contracts for cloud services. Cloud COmputing Law. Oxford University Press. 2013. P, 91. 

[9] Ibíd, Hon, W. et all. 2013. P. 92

[10] Ibíd, Hon, W. et all. 2013. P. 93

[11] Op.cit. Noble, T. 2013) p.17-18

[12] Cartilla_Protecc_datos_Cloud_Dic7 p. 8 

[13] SUPERINTENDENCIA FINANCIERA DE COLOMBIA. Circular Externa 005 de 2019. 

[14] Ministerio de las Tecnologías de la información y de las comunicaciones. Lineamientos de seguridad de la información par el uso de servicios en la nube. Versión 5 del 21/04/2025. https://gobiernodigital.mintic.gov.co/seguridadyprivacidad/704/articles-401777_recurso_1.pdf. P.29.