SciELO - Scientific Electronic Library Online

 
vol.9 número1A propósito del COVID-19: ¿sería recomendable para Chile la mediación familiar en línea?El delito de fraude informático: concepto y delimitación índice de autoresíndice de assuntospesquisa de artigos
Home Pagelista alfabética de periódicos  

Serviços Personalizados

Journal

Artigo

Indicadores

Links relacionados

  • Em processo de indexaçãoCitado por Google
  • Não possue artigos similaresSimilares em SciELO
  • Em processo de indexaçãoSimilares em Google

Compartilhar


Revista chilena de derecho y tecnología

versão On-line ISSN 0719-2584

Rev. chil. derecho tecnol. vol.9 no.1 Santiago jun. 2020

http://dx.doi.org/10.5354/0719-2584.2020.54688 

Doctrina

Los contratos de servicios de cloud storage público: cláusulas de privacidad y seguridad del contenido almacenado a la luz del derecho chileno

Cloud storage services in public clouds: Privacy and security terms of the stored content from Chilean Law perspective

Gonzalo Severin Fuster1 
http://orcid.org/0000-0001-6937-4746

1Pontificia Universidad Católica de Valparaíso. Chile

Resumen:

Los servicios de cloud storage en nubes públicas (Dropbox, Google Drive, iCloud, etcétera) permiten a los usuarios almacenar, acceder y compartir contenidos digitales en todo momento, bastando una conexión a internet y un dispositivo compatible. La seguridad de los contenidos digitales almacenados es una preocupación tanto para el proveedor como para el cliente. En este punto, junto con las herramientas técnicas destinadas a ofrecer seguridad en el uso del servicio, es posible hallar una serie de herramientas contractuales que delimitan las expectativas del cliente en relación con la integridad y privacidad de los contenidos almacenados. Por ejemplo, sobre el uso y acceso a esos contenidos por parte del parte del propio prestador del servicio o de terceros, o cláusulas de exoneración de responsabilidad en favor del prestador. En este trabajo se ofrece un análisis de este contrato y de dichas cláusulas, a fin de determinar su contenido, validez y eficacia, a la luz del derecho chileno.

Palabras clave: Computación en la nube; almacenamiento en la nube; contratos de servicio; privacidad; internet; Chile

Abstract:

Cloud storage services in public clouds (Dropbox, Google Drive, iCloud, etc.) allow users to store, to access and to share digital content twenty four hours a day and seven days a week, just using an internet connection and a compatible device. The security of stored digital content is a concern for both parties, both the service provider and the client. Along with the technical tools intended to offer security in the use of the service, we also find several “contractual tools”, which define the client’s expectations regarding the integrity and privacy of the stored content (for example, clauses on the use and access to these contents by the service provider itself or by third parties, or limitation of liability clauses in favor of the provider). This work offers an analysis of this contract and those clauses, with the purpose to determine its content, validity and effectiveness, from Chilean Law perspective.

Keywords: Cloud computing; cloud storage; service contracts; privacy; internet

Introducción

Consideraciones preliminares: El cloud computing y el cloud storage o alojamiento en la nube

En términos muy sencillos, el cloud computing («computación en la nube» o «informática en la nube») es una forma de prestar servicios, a través de internet, mediante la utilización de data centers o centros de información. El cloud computing permite que un usuario (una persona natural, una empresa o un organismo público) tercerice la provisión de ciertos servicios tecnológicos en una central de cómputo (el service cloud provider), el cual permite, a través de internet, que se utilicen sus data centers para guardar información o albergar programas que corren en sus servidores. 1

Los servicios de cloud computing son muy variados. 2 Este trabajo se centra en uno de esos servicios, el denominado cloud storage o almacenamiento —o alojamiento— en la nube; y, en particular, en aquellos servicios de almacenamiento que se ofrecen en nubes «públicas». 3 En términos simples, el cloud storage o almacenamiento en la nube (pública) es un servicio que permite a una persona (el «usuario» o «cliente») almacenar, acceder y compartir información o contenidos digitales (documentos, fotos, videos, música, videos, etcétera), 4 las 24 horas del día, siete días de la semana, desde cualquier lugar del mundo, en la medida que se cuente con un aparato compatible (computador, notebook, tableta, teléfono móvil, etcétera) y una conexión a internet ( Hon y Millard ,2013 : 4; Johnson, 2017 : 872). Esto es, básicamente, lo que ofrecen conocidos servicios de cloud storage, como Dropbox, Google Drive o Apple Cloud Drive (iCloud).

La importancia de los servicios de cloud storage

Los servicios de cloud computing han tenido un crecimiento exponencial, lo que se explica, entre otros factores, por el incremento de las velocidades de transferencia, la reducción de los costos de mantenimiento y de adquisición de computadores, y el desarrollo de tecnologías que han permitido hacer online aquello que antes sólo podía hacerse offline (Puyol Montero, 2013: 18). Como es lógico, los servicios de cloud storage son parte de ese fenómeno ( Johnson, 2017 : 872). Dropbox, por ejemplo, empresa estadounidense y probablemente una de las más reconocidas representantes del rubro, comenzó sus operaciones el año 2008. En 2016 anunciaba que había superado los quinientos millones de usuarios (de los cuales, unos once millones son clientes que pagan por ese servicio), y que el 75% de esas cuentas habían sido creadas fuera de Estados Unidos —dato que, de paso, pone de relieve la realidad global de esta clase de servicios—. 5 En 2018, Dropbox hizo su debut en la bolsa de Estados Unidos: abrió el jueves 22 de marzo de 2018 con la acción a 21 dólares; al día siguiente la acción estaba a 29 dólares, una subida de 38%. 6 Google Drive nos ofrece otro ejemplo de la importancia que ha adquirido de este mercado: durante 2018, ese servicio de Google alcanzó los mil millones de usuarios, 7 una cifra nada despreciable si se considera que el total de usuarios de internet en el mundo es de unos 4.000 millones. Es claro que el uso de estos servicios de almacenamiento en la nube está muy extendido en el mundo y nuestro país no es la excepción. Sólo a modo de ejemplo, Sebastián Piñera, al asumir la Presidencia de la República en 2010, entregó a cada uno de los ministros de Estado un pendrive que contenía toda la información relevante de la cartera. Al asumir su segundo período, en el 2018, lo que «entregó» a sus ministros fue una carpeta de Dropbox. 8

Objetivo del trabajo y plan de exposición

El alojamiento en la nube, como ocurre en general con los servicios de cloud computing, plantea una serie de preguntas y desafíos para el derecho. Sólo desde el punto de vista del derecho contractual, podemos considerar, por ejemplo, particularidades relativas a la formación del contrato (partiendo de la base de que se trata de contratos celebrados por medios electrónicos); 9 a la determinación de la prestación no conforme (considerando que la prestación característica del contrato es compleja, en cuanto está determinada, como se dirá, por tres acciones: la posibilidad de almacenar, de acceder y de compartir contenidos digitales); a los derechos de modificación unilateral y de terminación unilateral del contrato (considerando que se trata contratos que pueden ser calificados como de larga duración, y que las condiciones técnicas en las que se presta el servicio suelen cambiar con mucha velocidad); y así un largo etcétera.

Por supuesto, no es posible abordar aquí todos esos problemas. En este trabajo interesa abordar, principalmente, los aspectos vinculados con la seguridad y la privacidad de los contenidos digitales almacenados. Desde luego, en el diseño y ejecución del servicio de cloud storage existen una serie de herramientas y mecanismos técnicos que apuntan a proteger los contenidos digitales, tanto en su integridad como en su privacidad ( García del Poyo, 2012 : 55). Pero, junto con esos mecanismos técnicos, existe también una serie de mecanismos o soluciones propiamente contractuales: cláusulas en que regulan, por ejemplo, el alcance de los deberes de protección o resguardo de los contenidos almacenados por el cliente; el uso o acceso a dichos contenidos por parte del propio proveedor del servicio o por terceros; o la exclusión o limitación de su responsabilidad en caso de que los contenidos se vean afectados. Interesa, entonces, dar cuenta y analizar las principales cláusulas referidas, a fin de determinar su alcance, validez y eficacia a la luz de las reglas de derecho privado chileno que, potencialmente, puede resultar aplicable al contrato. Determinar cuáles son esas reglas exige hacer un ejercicio de caracterización del contrato, esto es, determinar su naturaleza jurídica.

El trabajo se divide, en consecuencia, en dos partes. En la primera parte se sigue un ejercicio de calificación jurídica que busca desentrañar la naturaleza y características del contrato de cloud storage, ejercicio que se ejecuta a partir de la descripción de la prestación característica del contrato que ofrecen los propios proveedores. Ese análisis de la descripción del objeto de la prestación característica del contrato (la que está a cargo del cloud storage provider) permite sugerir que estamos en presencia de un contrato atípico de servicio. Esta calificación del contrato de cloud storage —que es predicable de todo contrato de almacenamiento en la nube, no solo en nubes públicas— resulta especialmente relevante por, al menos, dos razones. Por un lado, porque la calificación como contrato de servicio abre la puerta a la potencial aplicación al estatuto de protección del consumidor, cuyo ámbito objetivo de aplicación (contratos cubiertos), si bien es limitado, incluye a la compraventa y a los servicios. Digo potencial aplicación, porque, para poder aplicar la Ley 19.496 sobre Protección de los Derechos de los Consumidores, no solo se requiere que el contrato pueda ser calificado como un contrato «de servicio», sino que, además, se requiere que las partes puedan ser calificadas como «proveedor» y «usuario» en los términos que define la propia Ley. Si bien un cloud service provider siempre calificará como «proveedor» en los términos de la Ley, el cliente del servicio no siempre podrá ser calificado como «usuario» o «consumidor». 10 Por otro lado, la calificación del contrato como un contrato atípico de servicios interesa porque, dado que no existe un régimen legal para los contratos de servicios en el Código Civil chileno, tal calificación justifica la aplicación, por vía de analogía, de diversas reglas de contratos típicos con los que el contrato de cloud storage presenta similitudes. Esto último es relevante en el análisis que se desarrolla en la segunda parte.

En la segunda parte se analiza la validez y eficacia de las principales cláusulas contenidas en contratos de almacenamiento en la nube, relativas al uso, a la privacidad y a la seguridad de los contenidos almacenados. El análisis toma como punto de referencia las cláusulas que contienen los términos de uso de tres de los más conocidos servicios de cloud storage en nubes públicas: Dropbox, Google Drive y iCloud (de Apple). Podría objetarse que un análisis de estas cláusulas sobre la base del derecho chileno carecería de interés práctico, en especial si se considera que los términos y condiciones de estos servicios suelen contener cláusulas de jurisdicción y de derecho aplicable (radicando, generalmente, el conocimiento de los problemas en los tribunales de algún estado de los Estados Unidos, aplicando su derecho). Sin embargo, existen varios caminos para afirmar que estos contratos de cloud storage tienen suficientes puntos de conexión con nuestro país, 11 y que el derecho nacional podría prevalecer. En efecto, además del hecho de que los clientes estén en Chile, 12 resulta que algunos de esos proveedores de servicios de cloud storage están constituidos como empresas en nuestro país, de modo que es posible demandarlos en Chile; y algunas de esas empresas incluso tienen instalados sus data centers en nuestro territorio. 13 Además, y al menos desde el punto de vista de los contratos que pueden calificarse como de consumo, no es del todo descartable la posibilidad de revisar la eficacia de esas cláusulas de elección de foro y legislación, en cuanto pueden ser consideradas abusivas, pues implican poner al consumidor transfronterizo en una situación muy precaria a la hora de poder hacer efectivos sus derechos. 14 Precisamente por esa razón, en un caso conocido por los tribunales franceses se estimó que la cláusula de elección de foro contenida en los términos de uso de Facebook, que radicaba el conocimiento de los asuntos en California, Estados Unidos (una cláusula de contenido muy similar a la que se encuentra en los servicios de cloud storage) era una cláusula abusiva. 15 En esta misma línea, es muy interesante tener en consideración la reciente presentación de una demanda colectiva en nuestro país por la Organización de Consumidores y Usuarios (ODECU) en contra de Apple —en el marco del conocido caso de obsolescencia programada de sus equipos—, que fue admitida a tramitación, lo que sugiere que esta clase de demandas no serían, a priori, «inviables». 16 Pero, más allá de ello, el ejercicio de análisis de la validez y eficacia de tales cláusulas es igualmente útil en la medida que las consideraciones que en este trabajo se desarrollan, aun cuando toman como punto de referencia las cláusulas contenidas en los contratos con esos particulares proveedores de cloud storage (Dropbox, Google Drive, iCloud), son consideraciones perfectamente extrapolables, mutatis mutandis, a cualesquiera cláusulas de tenor similar que pudieren estar incluidas en otros contratos de alojamiento en la nube (incluidas las nubes privadas, con proveedores chilenos).

Calificación del contrato de cloud storage como un contrato de servicios

Los elementos esenciales particulares del contrato de cloud storage

La descripción de la prestación característica del contrato,

según el propio proveedor

La forma en que se describe la prestación del contrato según la caracterización que hacen los proveedores es ilustrativa de las finalidades prácticas del cloud storage. Ese es, por tanto, un buen punto de partida a la hora de desentrañar su naturaleza. Conviene, desde luego, mostrar algunos ejemplos.

Comenzado con Dropbox, en su página web se puede leer:

Dropbox te permite alojar tus fotos, documentos, videos y otros archivos. Con Dropbox podrás acceder a tus cosas desde cualquier lugar y compartirlas fácilmente. Lo que añadas a Dropbox se mostrará automáticamente en todos tus ordenadores, teléfonos, tablets e, incluso, en el sitio web de Dropbox. Pon tus cosas en Dropbox y estarán siempre a tu disposición dondequiera que estés. Independientemente del dispositivo que utilices o de dónde te encuentres, Dropbox permite compartir datos fácilmente. Puedes colaborar con compañeros desde cualquier lugar o mostrar tus fotos en cualquier dispositivo. Dropbox también puede subir automáticamente fotos y vídeos inmediatamente después de haberlos hecho (el destacado es nuestro). 17

Por su parte, Google Drive nos invita a utilizar el servicio en estos términos:

Guarda fotos, artículos, diseños, dibujos, grabaciones, vídeos o lo que quieras. Puedes acceder a tus archivos de Drive desde cualquier smartphone, tablet u ordenador. Así, vayas donde vayas, llevarás siempre tus archivos contigo. Puedes invitar fácilmente a otros usuarios a ver todos los archivos que quieras además de descargarlos y trabajar en ellos, sin necesidad de enviar archivos adjuntos por correo electrónico (el destacado es nuestro). 18

Por último, en la página web de iCloud Drive se señala:

Con iCloud Drive puedes almacenar de manera segura todos tus archivos PDF, presentaciones, hojas de cálculo, imágenes o cualquier otro documento, y acceder a ellos desde tu iPhone, iPad, iPod Touch, Mac o PC. Ahora también puedes invitar a otras personas a trabajar en el mismo archivo que tú, sin necesidad de crear copias, enviar archivos adjuntos o preocuparse por diferentes versiones. […] Al tener todos los archivos en iCloud Drive, es fácil invitar a otras personas a ver, descargar o trabajar en el mismo archivo que tú, sin necesidad de crear copias, preocuparse por las diferentes versiones o enviar archivos adjuntos (el destacado es nuestro). 19

De las descripciones del servicio reproducidas, se puede concluir que son tres los verbos utilizados por los propios proveedores para describir la prestación característica del servicio de cloud storage: i) almacenar; ii) acceder; y iii) compartir ciertas «cosas» (fotos, videos, documentos, etcétera): los denominados archivos o contenidos digitales.

Contraprestación a cargo del cliente o usuario

Es claro que en los contratos de cloud storage el pago por parte del cliente de una suma de dinero (precio) no es un elemento esencial. En consecuencia, el que se deba pagar un precio por el servicio de almacenamiento en la nube es un elemento que puede o no estar presente en un caso concreto. De hecho, Dropbox, iCloud, Google Drive y las demás empresas de cloud storage ofrecen el servicio de almacenamiento en la nube con las mismas tres funciones (la posibilidad de almacenar contenidos digitales; la posibilidad de acceder a ellos 24 horas al día, 7 días a la semana; y la posibilidad de compartirlos con otros usuarios), tanto en sus cuentas gratuitas como en sus cuentas de pago. La diferencia entre esos tipos de cuentas está, básicamente, en la cantidad de espacio de almacenamiento con el que contará el cliente.

Si se paga un precio, entonces por necesidad el contrato será oneroso. Sin embargo, del hecho de que no se pague un precio por el servicio no se sigue que el contrato sea de por sí calificable como un contrato gratuito. La pregunta aquí es si, pese a no exigirse un precio, estamos frente a contratos propiamente «gratuitos». ¿Por qué una empresa como Dropbox estaría dispuesta a ofrecer una cuenta gratuita de almacenamiento en la nube? Es evidente que no es el ánimo de beneficencia el que la inspira (artículo 1.440 del Código Civil). La respuesta a esa pregunta se puede resumir en una simple frase, que ya se ha hecho bien conocida: if you’re not paying for it, you’re the product («si no estás pagando por el producto, tú eres el producto»). El usuario de estos servicios gratuitos en la nube no paga un «precio» en el sentido técnico (dinero), pero sí da algo a cambio: sus datos personales. En efecto, cuando celebramos un contrato de almacenamiento en la nube con Dropbox, Google Drive, iCloud o con cualquiera de esas empresas en las nubes públicas, estamos permitiendo al prestador del servicio el acceso y uso de nuestros datos personales. 20 Como sabemos, los datos personales pueden ser altamente sensibles, 21 y su acceso y manejo ponen en juego el derecho a la vida privada e intimidad; 22 de ahí la necesidad de una adecuada regulación. 23 Sin embargo, lo que interesa destacar aquí es que los datos personales tienen un enorme valor económico. El acceso a esos datos permite concluir que el contrato no es gratuito. 24

Con todo, en el caso particular de los contratos de cloud storage esa suerte de contraprestación de cargo del cliente no viene configurada tan solo por el acceso a los datos personales del cliente o usuario. En estos contratos suelen incluirse cláusulas por las que se cede, en favor del prestador del servicio, derechos de uso, reproducción, modificación y explotación de los contenidos digitales almacenados por el cliente (como se mostrará más adelante). Es evidente que esos derechos pueden considerarse una contrapartida del servicio de almacenamiento, tanto o más valiosa que el acceso a los datos personales.

La cuestión de la calificación del contrato de cloud storage como contrato oneroso resulta muy relevante. Por un lado, porque la onerosidad del contrato es uno de los elementos que determina la potencial aplicación del estatuto de protección del consumidor (artículo 1.1 de la Ley 19.496: «En virtud de cualquier acto jurídico oneroso»; artículo 1.2: «Por las que se cobre precio o tarifa»). Por otro lado, la calificación del contrato como oneroso es relevante porque delimita las posibilidades de encuadre en alguna de las figuras típicas del Código Civil o, al menos, permite justificar la aplicación, por analogía, de ciertas reglas de los contratos típicos, como se verá a continuación.

Posible encuadre del cloud storage en contratos típicos de derecho común

Ensayo de calificación del contrato sobre la base de dar primacía

a la función de almacenamiento

Como se ha dicho, son tres los verbos que describen la prestación característica del contrato: almacenar, acceder y compartir. Sin embargo, la posibilidad de acceder y la de compartir archivos o contenidos digitales podrían considerarse funciones secundarias, en cuanto tales acciones sólo son posibles en la medida que en efecto se haya almacenado antes algún contenido digital. Esa suerte de primacía de la función de almacenamiento como verbo rector para describir la prestación característica del contrato vendría acusada también por el propio nombre del contrato (storage). Asumiendo de momento tal posición, si queremos encajar el contrato de cloud storage en figuras contractuales típicas, tenemos dos alternativas, y cada una de ellas, a su vez, nos ofrecería dos posibilidades (considerando si el cliente paga, o no, un precio).

La primera alternativa es considerar que el proveedor del servicio de cloud storage pone un cierto espacio o lugar a disposición del cliente, para que éste almacene ahí sus archivos o contenidos digitales. Desde este punto de vista, y mirando las cosas desde una función económica, lo que hace el proveedor del cloud storage es ofrecer una alternativa al cliente, que le evita tener que adquirir un espacio de almacenamiento (por ejemplo, y en términos muy sencillos, le evita tener que comprar un disco duro externo o un pendrive). Desde este punto de vista, es posible una calificación alternativa: i) el contrato podría ser considerado como un arrendamiento de cosa, si el cliente paga un precio; o ii) el contrato podría ser calificado como un comodato, si el cliente puede utilizar el servicio sin pagar un precio.

La calificación como arrendamiento «de cosa» (de un espacio físico) es plausible dado que el concepto legal del arrendamiento del Código Civil chileno es suficientemente amplio para darle cabida. 25 No es problemático, para esta calificación, que se estime que el cloud storage supone la entrega o puesta en disposición de un espacio virtual, porque el Código Civil chileno señala expresamente que «son susceptibles de arrendamiento todas las cosas corporales o incorporales, que puedan usarse sin consumirse» (artículo 1.916). Por lo demás, hay que tener presente que, aun cuando no resulte del todo evidente, porque se trata de un contrato que se celebra y ejecuta «en la nube», en realidad, el cliente almacena sus contenidos digitales en un espacio que, en definitiva, no es virtual, sino físico (los servidores, que almacenan los archivos o contenidos digitales, están ubicados en data centers, que son lugares físicos) ( Hon y Millard ,2013 : 4). Esta última consideración es la que permitiría, en el caso de que no se pague un precio, calificar el contrato como un comodato (de espacio físico), en virtud del artículo 2.174 del Código Civil.

La segunda alternativa es considerar que el servicio de cloud storage, en realidad, ofrece a los clientes «guardar» los contenidos digitales, entendiendo en el concepto de almacenar también una función de «cuidar», «resguardar» o «custodiar» esos contenidos almacenados. Miradas las cosas desde esa perspectiva, también tenemos una doble alternativa de calificación contractual. Una posibilidad es que el contrato sea considerado un depósito, en el caso de que consideremos que sea un contrato gratuito (artículo 2.219 inciso primero del Código Civil). Sin embargo, el objeto del contrato no encaja en la definición de depósito del Código Civil, pues se concibe como un contrato en el que se confía una cosa corporal a una persona que se encarga de guardarla y de restituirla en especie (cfr. artículo 2.111 y 2.215). En el alojamiento en la nube, no se trata de cosas corporales, sino incorporales: los contenidos digitales. La otra posibilidad es que el contrato se califique como un «arrendamiento de servicios», si se paga por el depósito, como resulta de la aplicación del artículo 2.219 inciso segundo: «El depósito propiamente dicho es gratuito. Si se estipula remuneración por la simple custodia de una cosa, el depósito degenera en arrendamiento de servicio». En este caso, además del problema anterior (no sería un depósito típico por recaer sobre cosas incorporales), resulta que, en general, tal calificación no conlleva la aplicación de reglas diferentes, pues el propio artículo 2.219 señala que, en tal caso, «el que presta el servicio responde hasta de la culpa leve; pero bajo todo otro respecto está sujeto a las obligaciones del depositario y goza de los derechos de tal».

El cloud storage es un «contrato de servicio» atípico

El ejercicio de calificación que se ha hecho, sobre la base del verbo almacenar, resulta de interés de cara a la resolución de problemas en la ejecución de estos contratos y, como se ha dicho, ello es extensible a cualquier contrato de almacenamiento, también en nubes privadas. En efecto, es muy posible que se produzca una tensión entre el proveedor y el cliente, en relación con la conceptualización del servicio, en especial si estamos ante un contrato incompleto y no completamente negociado. Mientras que el proveedor de cloud storage podría pretender limitar su responsabilidad en relación con la conservación o cuidado de los contenidos digitales alojados (tendiendo a asimilar el cloud storage como un arrendamiento, esto es, la puesta a disposición de un espacio para que el cliente introduzca allí sus propios bienes, respecto de los cuales no asume responsabilidad, o asume una muy acotada), los clientes o usuarios, en cambio, podrían tender a considerar el cloud storage como un contrato de guarda o custodia, lo que implica la expectativa de que sus contenidos digitales serán efectivamente conservados y protegidos por el prestador.

Creo, con todo, que ninguna de esas posibles calificaciones sería correcta. No parece que pueda darse primacía a la acción de almacenar, para describir el contenido de la prestación característica de este contrato. La posibilidad de acceder en forma permanente a la información, y la posibilidad de compartirla, parecen, de cara a la función práctica y económica del contrato, tanto o más relevantes que la acción de almacenar. De hecho, la forma en que interactúan las tres acciones con las que se describe el servicio (almacenar, acceder, compartir) puede variar de manera importante en un caso concreto. Así, un cliente puede utilizar el servicio sólo para almacenar su información, a modo de respaldo, sin nunca compartirla; mientras que otro cliente puede utilizar el alojamiento en la nube con la finalidad principal de compartir su información con otros (lo que facilita el trabajo compartido sobre un mismo archivo), mientras que su almacenamiento es una simple consecuencia de ese proceso. La finalidad particular o específica que se persigue por el cliente que contrata un servicio de almacenamiento en la nube resulta irrelevante en la calificación del contrato, porque en esta clase de contratos, en especial en los de nube pública, no se trata de un servicio tailor-made o «hecho a la medida» del cliente, pues se trata de un servicios estandarizados, que son diseñados por el prestador del servicio, sin la participación del cliente. Ni se exige una declaración por parte del cliente en relación con el uso específico que hará del servicio, ni pueden excluirse algunas de esas funciones. Tampoco varían las condiciones generales o términos de uso dependiendo del uso que pretenda darse al servicio. El proveedor de servicios de cloud storage ofrece a la contraparte (el cliente o usuario) la posibilidad de hacer todas esas cosas, y de ahí que parezca necesario describir la prestación característica del contrato a partir de esos tres verbos (almacenar, acceder, compartir). Es una prestación compleja. Por lo dicho, me parece que es mejor conceptualizarlo como un contrato de servicio, en un sentido amplio. 26 Como se ha dicho, este ejercicio de calificación, si bien se ha construido sobre la base de la propia descripción del servicio ofrecido por proveedores de nubes públicas (Google Drive, Dropbox, iCloud), alcanza, mutatis mutandis, a cualquier servicio de cloud storage, pues pretende identificar y caracterizar el objeto de la prestación que caracteriza a este contrato. Esta propuesta de calificación jurídica como un contrato de servicio atípico es, por tanto, perfectamente extrapolable a los contratos de servicios de almacenamiento en nubes privadas.

Hay que tener presente que la calificación del cloud storage como contrato de servicio en sentido amplio o atípico plantea de inmediato el problema de la regulación aplicable, pues no existe una regulación en el Código Civil para esta categoría de contratos. 27 Con todo, calificar el cloud storage como un contrato de servicios atípico sí permite sentar algunas bases sobre las cuales ha de construirse la regla contractual. Así, por ejemplo, resulta útil la comprensión de la prestación característica del contrato como una obligación de hacer, pues con ello son aplicables las reglas generales sobre esta clase de obligaciones (por ejemplo, el artículo 1.553 del Código Civil). Si asumimos que el contrato es atípico, entonces es posible la aplicación, por analogía, de diversas reglas dadas para diferentes contratos típicos con los que el cloud storage presenta suficientes similitudes, de estructura jurídica o finalidad económica —como se ha visto, las reglas del arrendamiento de cosas; las del arrendamiento de servicios inmateriales (artículos 2.006 y ss.) y las del depósito—. Por último, como ya se ha apuntado, la calificación del contrato como contrato de servicio abre la puerta a la potencial aplicación de la Ley 19.496, supuesto que se cumplan con las demás condiciones que permiten calificar la relación como de consumo.

A partir de ahí, resulta posible, entonces, contrastar las cláusulas que se incluyen en estos contratos relativas al uso, cuidado y seguridad de los contenidos almacenados, con esa regulación potencialmente aplicable: la del derecho común y la de la Ley sobre Protección de los Derechos de los Consumidores. El objetivo es analizar la validez, eficacia y utilidad de dichas cláusulas. Parece evidente que muchas podrían ser consideradas abusivas en atención a lo dispuesto por la Ley sobre Protección de los Derechos de los Consumidores: por ejemplo, las cláusulas que autorizan la terminación o modificación unilateral del contrato (artículo 16 letra a); las que implican una exoneración de responsabilidad (artículo 16 letra e); y, en general, las cláusulas contrarias a la buena fe y que impliquen un desequilibrio importante en los derechos y obligaciones de las partes (artículo 16 letra g). Por ello, parece más interesante un análisis de estas cláusulas desde la perspectiva del derecho común. Desde este punto de vista, interesa destacar que, pese a que estas cláusulas en apariencia otorgan derechos desproporcionados en favor del proveedor del servicio, ellas podrían no solo ser válidas, sino que estar, de hecho, justificadas en reglas que el propio Código Civil ofrece para esos contratos con los que, como se ha indicado, este servicio presenta algunas analogías. Sobre ello se ahonda en la segunda parte del trabajo.

Las cláusulas relativas a la privacidad y a la seguridad de los contenidos almacenados: Análisis sobre su validez y eficacia

Los servicios de almacenamiento en nubes públicas son completamente diseñados por el prestador. Dicho de otro modo, el cliente no tiene injerencia sobre el contenido de la prestación característica del contrato, ni sobre las condiciones en las que se ejecutará el contrato. No modifica esta conclusión el hecho de que el servicio sea «escalable» según las necesidades del cliente, pues las alternativas de escalamiento (en el caso de los servicios de cloud storage, la cantidad de espacio de que se dispondrá para almacenamiento) vienen a su vez definidas por el prestador del servicio. 28 Es un servicio que está diseñado para ofrecerse en masa, no es un servicio hecho a la medida del cliente. Así, resulta lógico que el contenido de estos contratos esté estandarizado. Éste ha sido redactado de manera unilateral por el proveedor, como encontramos en los textos denominados por lo general como «términos y condiciones» (iCloud) 29 o «condiciones del servicio» (Google Drive 30 y Dropbox), 31 que podemos hallar en las páginas web de los proveedores de servicios de cloud storage. De ahí que no exista duda de que se trata de un contrato de adhesión.

Una lectura de las condiciones del servicio (incluyendo las denominadas «políticas de privacidad») de diversos proveedores de servicios de cloud storage permite sentar dos premisas, que apunto aquí como precisiones metodológicas. La primera es que es posible afirmar, en términos generales, que el contenido de todos ellos es bastante similar. Por esa razón, y dado que la finalidad de esta parte del trabajo es principalmente ilustrativa, me referiré en adelante tan solo a las cláusulas de tres proveedores de servicios de cloud storage: Dropbox, Google Drive y iCloud. La segunda premisa que arroja el análisis es que si bien existen numerosas cláusulas relativas a la privacidad y a la seguridad de los contenidos digitales almacenados, resulta posible agruparlas en tres grupos o categorías: i) cláusulas que conceden al proveedor derechos de acceso y uso de los contenidos almacenados; ii) cláusulas que otorgan al proveedor ciertos derechos justificados en el mal uso por parte del cliente (a retener los contenidos, a revelar el contenido a terceros; a borrar contenidos o a cerrar la cuenta); y iii) cláusulas de exoneración y limitación de responsabilidad en favor del proveedor, por pérdida o revelación de los contenidos almacenados. Analizo, por separado, cada una de ellas.

Cláusulas que conceden al proveedor derechos de acceso, uso y disposición de los contenidos almacenados

Desde luego, si uno lee la descripción del servicio y los términos de uso, podría pensar, a priori, que ninguno de los servicios de cloud storage suponen una transferencia de la propiedad de los contenidos digitales en favor del proveedor del servicio, pues así se declara de manera expresa.

Google, por ejemplo, señala:

Algunos de nuestros servicios te permiten subir, enviar, almacenar o recibir contenido. Si lo haces, seguirás siendo el titular de los derechos de propiedad intelectual que tengas sobre ese contenido. En pocas palabras, lo que te pertenece, tuyo es.

En términos similares, en las condiciones del servicio de iCloud se afirma:

A excepción del material para el que te concedemos licencia, Apple no reclama la propiedad de los materiales y/o del contenido que envíes o pongas a disposición a través del servicio.

Dropbox, por su parte, nos asegura que

tus archivos son tuyos. Estas condiciones no nos conceden derechos sobre tus archivos, excepto los derechos limitados que nos permiten prestar los servicios.

Sin embargo, y aun cuando declaraciones tan categóricas como ésas podrían dejar al cliente tranquilo, lo cierto es que el alcance de esa afirmación de entrada resulta más que discutible, pues estos servicios suponen, en algún grado, la concesión de un derecho de acceso y de uso, incluyendo formas disposición material y jurídica sobre los contenidos digitales almacenados. En algunos casos, esos derechos se confieren de manera prácticamente ilimitada, y ni siquiera se restringen al proveedor, sino que también favorecen a terceros.

En las condiciones de Google Drive, por ejemplo, de inmediato se agrega:

Al subir, almacenar o recibir contenido o al enviarlo a nuestros servicios o a través de ellos, concedes a Google (y a sus colaboradores) una licencia mundial para usar, alojar, almacenar, reproducir, modificar, crear obras derivadas (por ejemplo, las que resulten de la traducción, la adaptación u otros cambios que realicemos para que tu contenido se adapte mejor a nuestros servicios), comunicar, publicar, ejecutar o mostrar públicamente y distribuir dicho contenido.

En las condiciones de iCloud se aclara, después de la afirmación de que los contenidos son del cliente:

No obstante, si envías o publicas dicho contenido en áreas del servicio accesibles al público u otros usuarios con quienes acuerdes compartir dicho contenido, concedes a Apple una licencia de uso mundial, libre de regalías y no exclusiva para usar, distribuir, reproducir, modificar, adaptar, publicar, traducir, comunicar públicamente y exhibir públicamente dicho contenido a través del servicio exclusivamente con el fin para el que se envió o se puso a disposición el contenido, sin que Apple te remunere o tenga ninguna responsabilidad con respecto a ti.

También es similar el caso de Dropbox, que, además, agrega que esa autorización aplica a sus empresas relacionadas y a terceros con los que la empresa trabaja:

Necesitamos tu autorización para llevar a cabo ciertas acciones, como alojar tus archivos, crear copias de seguridad y compartirlos cuando nos solicites hacerlo. Nuestros servicios también te ofrecen características como miniaturas de fotos, vistas previas de documentos, y capacidad de comentar, ordenar fácilmente, editar, compartir y buscar. Estas y otras funciones podrán requerir que nuestros sistemas accedan a tus archivos, los almacenen y los examinen. Nos concedes autorización para hacer todas estas acciones, y este permiso se aplica también a nuestras subsidiarias y a los terceros de confianza con los que trabajamos.

Esa licencia de acceso y uso, así concebida, puede considerarse una forma, indirecta si se quiere, de apropiarse de los contenidos digitales; pues si bien el cliente no pierde la titularidad sobre ellos, concede al proveedor casi todas las facultades propias del dominio (usar, gozar, disponer), cuestión que resulta materialmente posible porque los contenidos digitales admiten, por su propia naturaleza, ser procesados o manipulados y, entonces, sin privar al cliente el acceso y uso que de ellos puede hacer, es posible generar copias de los contenidos, las que pueden ser alteradas, modificadas, utilizadas y explotadas por el proveedor para sus propios fines. En algunos casos, incluso subsiste dicha licencia una vez que se termina el contrato, como ocurre en el caso de los servicios de Google Drive:

Esta licencia seguirá vigente incluso cuando dejes de usar nuestros servicios.

Con todo, no parece que tales cláusulas puedan considerarse inválidas; ni que pueda discutirse su eficacia, si se les contrasta con el derecho común. Podemos hallar fundamento en el artículo 2.220 inciso primero del Código Civil, del que se desprende que es perfectamente posible pactar que el depositario pueda usar la cosa depositada. Es más, el que las cosas no se deterioren de manera sensible por el uso —como ocurre tratándose de los contenidos digitales— es un elemento que la propia ley considera para presumir tal permiso de uso (artículo 2.220 inciso tercero del Código Civil). No obstante, si la cláusula puede considerarse ambigua (por ejemplo, porque se señala que no se pierde la propiedad sobre los contenidos digitales, pero al mismo tiempo, se priva al cliente, en los hechos, de la exclusividad que el dominio concede), entonces podría ser de aplicación la regla que contiene el inciso segundo del artículo 1.566 del Código Civil, pues se cumple el supuesto de esa regla: se trataría de una cláusula ambigua, extendida por una de las partes, y en la que la ambigüedad proviene del hecho de faltar una explicación que la redactora ha debido dar; y ello implica que se interpretaría contra el proveedor de los servicios de cloud storage; lo que permitiría limitar el alcance de tal licencia, por ejemplo.

En cualquier caso, si el proveedor en efecto utiliza esos contenidos, podría ser de aplicación la regla del artículo 810 del Código de Comercio, que señala que «el depositario que hace uso de la cosa depositada, aun en los casos que se lo permita la ley o la convención, pierde el derecho a la retribución estipulada o usual».

Cláusulas que otorgan al proveedor ciertos derechos justificados en el mal uso por parte del cliente

Las características propias del servicio de cloud storage (almacenar, acceder, compartir) ofrecen la posibilidad ejecutar conductas constitutivas de infracciones y delitos. Por ejemplo, un cliente almacena o hace una copia de un disco de música, que luego «guarda en la nube» y comparte con otros usuarios, lo que podría constituir una infracción de los derechos de propiedad intelectual y configurar alguno de los delitos contenidos en los artículos 79 y ss. de la Ley 17.336. 32 O bien, un cliente utiliza el servicio de cloud storage para almacenar o difundir material pornográfico infantil, conductas constitutivas de delito, según el artículo 374 bis del Código Penal. 33 O bien, comparte material de contenido sensible o privado de un tercero, sin su autorización (como una ficha médica o fotos íntimas). La responsabilidad, en todos estos casos, recae sobre el propio cliente, que es el que, a través de la aplicación cloud, almacena y difunde esos contenidos.

Los términos de uso de Dropbox, por ejemplo, así lo recuerdan:

Eres responsable de tu conducta. Tus archivos y tú deben cumplir nuestra política de uso aceptable. El contenido de los servicios podría estar protegido por los derechos de propiedad intelectual de otras personas. No copies, cargues, descargues ni compartas contenido, a menos que tengas derecho a hacerlo.

Con todo, podría pretender perseguirse la responsabilidad del proveedor del servicio cloud storage, puesto que, de algún modo, facilita la realización de estas conductas (y en lo que respecta a la responsabilidad civil, por tener más patrimonio). Tratándose de conductas constitutivas de delitos contra la propiedad intelectual, por ejemplo, se entiende que el proveedor puede eximirse de responsabilidad, en la medida que cumpla con ciertas exigencias establecidas en la Ley. 34 Y así lo han resuelto nuestros tribunales en varios casos. 35 Por eso, no resulta extraño que el proveedor del servicio pueda acceder y usar la información con el fin de verificar si el cliente incurre en estas conductas, 36 y que, además, pueda «retenerla» e incluso revelarla a ciertas personas.

Por ejemplo, en las condiciones de iCloud se señala:

Apple se reserva el derecho a tomar las medidas que determine necesarias o convenientes para hacer cumplir y/o comprobar el cumplimiento con cualquier disposición de este contrato. Reconoces y aceptas que Apple, sin responsabilidad con respecto a ti, puede acceder, usar, conservar y/o revelar la información y el contenido de tu cuenta a las autoridades policiales, funcionarios de gobierno, y/o terceros, en la medida que Apple determine necesaria o conveniente, si así se le solicita legalmente o en la creencia de buena fe de que dicho acceso, uso, revelación o conservación es razonablemente necesario para: a) cumplir procesos o solicitudes legales; b) hacer cumplir este contrato, incluyendo la investigación de cualquier posible infracción relacionada con las mismas; c) detectar, impedir o de otro modo solucionar problemas de seguridad, fraudes o problemas técnicos; o d) proteger los derechos, la propiedad o la seguridad de Apple, sus usuarios, un tercero o el público conforme a lo que exija o permita la legislación.

Como en el caso anterior, desde el punto de vista del derecho común, no parece existir impedimento para afirmar la validez y eficacia de estas cláusulas. El propio Código Civil, en relación con la restitución de la cosa, admite —por remisión a las reglas del comodato (artículo 2.223)— que el depositario pueda retener las cosas depositadas si las cosas fueron «perdidas, hurtadas o robadas a su dueño» (artículo 2.183 inciso primero); y, de hecho, impone al depositario responsabilidad si, sabiendo tal circunstancia, no lo denuncia al dueño dentro de un plazo razonable (artículo 2.183 inciso segundo). Además, se le impone al depositario suspender la restitución de aquellas cosas «de que se sepa que se trata de hacer un uso criminal», las que debe poner a disposición del juez (artículo 2.184). El punto es que la forma en que se conceden tales derechos es tan amplia, que la revelación de los contenidos digitales no se restringe solo a las autoridades judiciales o policiales, sino que alcanza a otros terceros; y tampoco se limita a los casos en que se le haya exigido tal revelación (por ejemplo, en el marco de una investigación por conductas ilícitas), sino que también se extiende a los casos que el propio proveedor lo estime conveniente, por ejemplo, para protegerse a sí mismo, o incluso, mejorar sus servicios.

Por otro lado, para controlar o sancionar el mal uso de la cuenta, los proveedores de servicios de cloud storage se reservan el derecho a eliminar los contenidos o eliminar la cuenta del usuario. Este último derecho, en especial, equivale a autorizar al proveedor del servicio a poner término al contrato en forma unilateral al contrato.

Por ejemplo, en el caso de Dropbox:

Respetamos la propiedad intelectual de los demás y te pedimos que hagas lo mismo […] Nos reservamos el derecho de eliminar o inhabilitar el contenido presuntamente infractor y de cancelar las cuentas de los infractores reincidentes.

En el caso de iCloud, se señala:

Reconoces que Apple no es responsable en modo alguno del contenido suministrado por otros y que no tiene la obligación de evaluar previamente dicho contenido. No obstante, Apple se reserva el derecho a determinar en cualquier momento si el contenido es apropiado y se ajusta a lo previsto en este contrato, y puede evaluar previamente, trasladar, rechazar, modificar y/o eliminar contenido en cualquier momento, sin notificación previa y a su entera discreción, si dicho contenido infringe este contrato o es de algún modo censurable.

En el caso de Google Drive, por su parte, se señala en general:

Podemos revisar el contenido para determinar si es ilegal o infringe nuestras políticas, y eliminarlo o negarnos a publicarlo si tenemos razones suficientes para considerar que infringe nuestras políticas o la ley.

En particular, para el caso de infracción de los derechos de propiedad intelectual:

Respondemos a las notificaciones de presuntas infracciones de los derechos de autor y cancelamos las cuentas de los usuarios que cometen infracciones reiteradas de acuerdo con el proceso establecido en la ley estadounidense de protección de los derechos de autor (Digital Millenium Copyright Act, DMCA).

Estos derechos tampoco son desconocidos al Código Civil; no, al menos, cuando la terminación del contrato se justifica en un incumplimiento del cliente respecto del uso pactado, o por otras circunstancias graves. En efecto, además del hecho de que estas cláusulas podrían considerarse como pactos comisorios atípicos o «cláusulas resolutorias», sobre cuya validez no hay discusión en la doctrina nacional ( Vidal Olivares, 2019 : 7 y ss.), hay reglas especiales en la regulación de los contratos cuyos fundamentos parecen similares. En materia de arrendamiento, por ejemplo, el uso de la cosa fuera de los márgenes pactados es causal de terminación del contrato (artículo 1.938); y el mismo derecho se establece en favor del comodante si el comodatario utiliza la cosa prestada en forma inadecuada (artículo 2.177). También en materia de depósito, puede el depositante ponerle término anticipado al contrato si la cosa peligra en su poder o le causa perjuicio (artículos 2.216 y 2.227).

Cláusulas de exoneración y limitación de responsabilidad en favor del proveedor, por pérdida o revelación indebida de contenidos almacenados

El cliente del servicio de cloud storage puede tener una expectativa razonable de que sus contenidos digitales serán debidamente custodiados por el proveedor; que, por tanto, no se perderán o destruirán; y que terceros no autorizados no podrán acceder a ella. El incumplimiento de esta expectativa puede tener graves consecuencias. Supongamos, por ejemplo, que una oficina de abogados utiliza un servicio de almacenamiento en la nube para respaldar la información de sus clientes y de sus juicios. La destrucción o revelación de esa información podría suponer un incumplimiento con su cliente y, además, una infracción del secreto profesional. 37 Pensemos, ahora, en la filtración de fotos íntimas de una persona natural: ello afectará su honor y su derecho a la intimidad, y podrá dar lugar a demandas de daño moral, sobre todo si consideramos que ese contenido, una vez filtrado, no volverá a ser privado, y que la filtración promueve otras conductas por parte de terceros, como el ciberacoso, lo que puede afectar gravemente a la integridad síquica de esa persona. 38

En general, el riesgo de pérdida o revelación indebida de información (publicación o difusión) puede deberse a tres factores. Uno es el uso que el propio cliente hace del servicio, por ejemplo, si configura mal su cuenta, y ello incide en la forma en que otros usuarios ven o acceden a sus contenidos. Otro factor es la gestión técnica del servicio por parte del proveedor, la que puede dar lugar a riesgos de seguridad, ya sea por la forma de almacenar los contenidos, 39 ya sea al aplicar mejoras o actualizaciones en sus instalaciones, servidores o software; Dropbox, por ejemplo, ya ha tenido problemas de este tipo. 40 El tercer supuesto es el ataque de terceros que superen las barreras de seguridad del proveedor de servicios de cloud storage (ciberataque de hackers), como ha ocurrido con Dropbox y con iCloud. 41 En todos estos casos, la pregunta aquí es cuál es el grado de responsabilidad que asume el proveedor del servicio de cloud storage, en relación con la posibilidad de pérdida o filtración de contenidos almacenados.

En principio, la responsabilidad del proveedor vendrá determinada por aquello que esté dentro de su esfera de control, y de que sea posible establecer algunas reglas por defecto en relación con la intensidad del deber de cuidado de los contenidos digitales ( Cunningham y Reed, 2013 : 347-348). 42 Es más, algunas reglas del Código Civil podrían servir de base para integrar estos contratos interpretando algunas hipótesis, como ocurre con la regla del depósito, que impone el respeto de sellos y cerraduras (artículo 2.223), y la que presume la culpa del depositario en cualquier caso de fractura o forzamiento de esos sellos (artículo 2.224), para dar cabida al respeto por passwords y otros sistemas de cifrados de seguridad de los contenidos almacenados. Sin embargo, este punto viene desarrollado en extenso en todos los contratos de cloud storage. Contienen cláusulas en las que el proveedor sólo se compromete a un cuidado razonable en relación con la conservación de los contenidos digitales, lo que implica que la obligación que se asume por el cuidado es una obligación de medios (de diligencia o de best efforts) y no una obligación de resultado; la sola destrucción, pérdida o revelación de los contenidos no basta para establecer que ha existido incumplimiento por parte del prestador. Además, junto con esa clase de declaraciones, suelen incluirse amplias limitaciones y exclusiones de responsabilidad. Todos los contratos revisados incluyen una cláusula de exoneración total, tan amplia como sea admisible por la ley, para el caso de pérdida de los contenidos, por cualquier causa.

Vale la pena mostrar algunos ejemplos. En el caso de Dropbox:

Nos esforzamos constantemente por prestar servicios excelentes, pero hay factores que no podemos garantizar. En la máxima medida permitida por la ley, Dropbox y sus subsidiarias, proveedores y distribuidores no ofrecen garantías, explícitas ni implícitas, acerca de los servicios. Los servicios se prestan «tal cual están». También renunciamos a toda garantía de comerciabilidad, adecuación a un fin específico y no infracción.

En las condiciones de uso de iCloud:

Apple utilizará una habilidad razonable y debido cuidado para proporcionar el servicio, pero, en la medida más amplia permitida por la ley aplicable, Apple no garantiza que cualquier contenido que almacenes o al que accedas a través del servicio no estará sujeto a daño, corrupción, pérdida o retiro inadvertido, de conformidad con los términos del presente contrato, y Apple no tendrá ninguna responsabilidad en caso de la ocurrencia del mencionado daño, corrupción, pérdida o retiro. Es tu responsabilidad mantener copias de seguridad alternativas de tu información y datos.

En el caso de Google Drive:

Google ofrece sus servicios con un nivel de competencia y diligencia razonable desde el punto de vista comercial, y esperamos que disfrutes al usarlos. No obstante, no podemos ofrecer garantías en relación con algunos aspectos de nuestros servicios. Ni Google ni sus proveedores o distribuidores ofrecen garantías específicas sobre los servicios distintas a las establecidas de forma expresa en estas condiciones o en las condiciones adicionales. Por ejemplo, Google no ofrece ninguna garantía en relación con el contenido de los servicios, sus funciones específicas, su fiabilidad, su disponibilidad ni su capacidad para satisfacer tus necesidades. Los servicios se ofrecen «tal cual».

En los casos permitidos por la ley, ni Google ni sus proveedores o distribuidores serán responsables por la pérdida de beneficios, ingresos, datos, pérdidas financieras ni por daños indirectos, especiales, derivados, ejemplares o punitivos. En la medida en que la ley lo permita, la responsabilidad total de Google, así como la de sus proveedores y distribuidores, por cualquier reclamación realizada bajo estas condiciones, incluida por cualquier garantía implícita, se limita al importe que hayas pagado por usar los servicios (o, si Google así lo decide, a la reanudación de los servicios).

¿Hasta qué punto son válidas y eficaces estas cláusulas limitativas de responsabilidad? Si nos movemos en el ámbito del derecho común, la respuesta que ha dado la doctrina es que, en general, las cláusulas de exoneración y de limitación de responsabilidad son válidas (en virtud de lo dispuesto en los artículos 12, 1.547 y 1.558 del Código Civil), con el límite general de la prohibición de condonación del dolo futuro (artículo 1.465 del Código Civil) y, por asimilación, de la culpa grave (artículo 44 del Código Civil); y aquellas restricciones que impliquen que la afectación de derechos o bienes indisponibles. 43 Además, podría justificarse que no pueden admitirse exoneraciones de responsabilidad que impliquen vaciar por completo de contenido a la obligación principal asumida por el deudor (una regla que ha recogido en forma expresa el Código Civil francés tras la reforma de 2016), 44 lo que, en nuestro sistema, podría construirse sobre la base de que no existe voluntad seria de obligarse.

A modo de conclusión

Es evidente que quien pretenda utilizar los servicios de cloud storage en nubes públicas ha de tener en consideración la existencia de cláusulas que otorgan ciertos derechos al proveedor en relación con la posibilidad de acceder, usar, modificar los contenidos, de retenerlos o revelarlos; e incluso de eliminarlos o poner término al contrato; y que le exoneran o limitan de manera importante su responsabilidad. Se trata, obviamente, de cláusulas que favorecen al proveedor del servicio, y que, además, han sido redactadas por él, y que la contraparte (el cliente o usuario) no ha podido siquiera discutir, pues se trata de un contrato de adhesión. De ahí que pueda ser tentador calificar dichas cláusulas como abusivas. Es probable que, en aquellos casos en los que el contrato de cloud storage pueda calificarse como un contrato de consumo, esa conclusión sea correcta. Sin embargo, en el ámbito del derecho privado común, no es posible sostener ello, o, por lo menos, la afirmación ha de ser matizada. En este sentido, en este trabajo se ha mostrado que, en general, dichas cláusulas son válidas, y que, de hecho, muchas de las prerrogativas que en ellas se contienen, en favor del proveedor del cloud storage, pueden ser fundadas en normas que el propio Código Civil da para contratos con los que aquél tiene cierta similitud, y cuyas reglas pueden ser aplicadas por analogía (en especial, en las reglas del depósito). Como se ha indicado al comienzo, las consideraciones sobre la validez y eficacia de dichas cláusulas son perfectamente aplicables a cláusulas similares que pudieran contenerse en contratos de cloud storage en nubes privadas, y con mayor razón si se trata de contratos con proveedores chilenos.

Con todo, en el caso particular de los contratos analizados, resulta indispensable tener en cuenta la presencia de estas cláusulas en el contrato, en particular en los casos en los que el usuario o cliente no pueda ser considerado consumidor. Sobre todo si los contenidos digitales objetos de este contrato son información sensible, que no se quiere dar a conocer o que no se quiere publicar (manuscrito de un trabajo o el avance de una investigación aún no terminada, por ejemplo) o que no debe ser conocida por terceros, por estar, por ejemplo, amparada por secreto profesional (información sensible de los clientes de un abogado; expedientes de tramitación de juicios, historiales médicos, fotos privadas, etcétera). Quien quiera contratar servicios de cloud storage ha de tener claro que estos contratos no ofrecen suficiente garantía respecto de la privacidad ni de la seguridad de los contenidos almacenados.

Agradecimiento

Este trabajo se inserta en el marco de ejecución del proyecto Fondecyt de Iniciación núm. 11170287: «El servicio como objeto de la prestación contractual en el derecho civil chileno: Caracterización, incumplimiento y remedios», del cual el autor es investigador responsable; y del proyecto DER2017-84947-P, del Ministerio de Economía y Competitividad de España, en el cual el autor participa como coinvestigador. Versiones preliminares de este trabajo fueron discutidas en seminarios en Santiago, Valparaíso y Madrid, donde se benefició de diversos comentarios, aportes y sugerencias de los asistentes. Los errores son, desde luego, de mi exclusiva responsabilidad.

Referencias bibliográficas

Bahamondes Oyarzún, C., Etcheberry Court, L. (2017). Cláusulas limitativas y exonerativas de responsabilidad en la compraventa y en el derecho común y de consumo . En Contardo, J., de la Maza, Íñigo (eds.);La compraventa: Estudios. (503-535). Santiago: Thompson Reuters [ Links ]

Banda Vergara, A.(2000). "Manejo de datos personales: Un límite al derecho a la vida privada". Revista de Derecho (Universidad Austral). (11), 55-70. Recuperado de https://bit.ly/3ea2G9bLinks ]

Barros Bourie, E. (2012). Los contratos de servicios ante la doctrina general del contrato: La virtualidad analógica de las reglas sobre el mandato . En Elorriaga de Bonis, F (coord.);Estudios de derecho civil VII. (325-340). Santiago: Legal Publishing [ Links ]

Brantt Zumarán, M., Mejías Alonzo, C.(2016). "El derecho supletorio del contrato de servicios en el Código Civil chileno: Insuficiencia de las reglas del mandato y del arrendamiento". Revista de Derecho de la Pontificia Universidad Católica de Valparaíso. (46), 71-103. Recuperado de http://doi.org/10.4067/S0718-68512016000100002Links ]

Cerda Silva, A.(2014). "Limitación de responsabilidad de los prestadores de servicios de internet por infracción a los derechos de autor en línea". Revista de Derecho de la Pontificia Universidad Católica de Valparaíso. (42), 121-148. Recuperado de http://doi.org/10.4067/S0718-68512014000100004Links ]

Cunningham, A., Reed, C. (2013). Consumer protection in cloud environments . En Millard, C (eds.);Cloud computing law. (331-361). Oxford: Oxford University Press [ Links ]

Deshayes, O., Genicon, T., Laithier, Y., (2016). Réforme du droit des contrats, du régime général et de la preuve des obligations : Commentaire article par article . París: Lexis Nexis [ Links ]

Frigerio Dattwyler, C.(2018). "Mecanismos de regulación de datos personales: Una mirada desde el análisis económico del derecho". Revista Chilena de Derecho y Tecnología. 7 (2), 45-80. Recuperado de http://doi.org/10.5354/0719-2584.2018.50578Links ]

García del Poyo, R.(2012). "Cloud computing: Aspectos jurídicos clave para la contratación de estos servicios". Revista Española de Relaciones Internacionales. (4), 48-91. Recuperado de https://bit.ly/3ehPwXMLinks ]

García Sánchez, M. (2012). Retos de la computación en la nube . En Martínez Martínez, R (eds.);Derecho y cloud computing. (37-61). Navarra: Aranzadi-Thompson Reuters [ Links ]

Geiregat, S., Steennot, R. (2017). Proposal for a directive on digital content: Scope of application and liability for a lack of conformity . En Claeys, I., Terryn, E (eds.);Digital content & distance sales: New developments at EU level. (95-166). Cambridge: Intersentia [ Links ]

González Castillo, J.(2011). "Las cláusulas limitativas, exonerativas o agravantes de responsabilidad en materia contractual: Validez y límites". Revista Chilena de Derecho. (38), 89-100. Recuperado de http://doi.org/10.4067/S0718-34372011000100005Links ]

Herrera Bravo, R.(2011). "Cloud computing y seguridad: Despejando nubes para proteger los datos personales". Revista de Derecho y Ciencias Penales. (17), 43-58. Recuperado de https://bit.ly/2Yiid1kLinks ]

Hon, K., Millard, C. (2013). Cloud technology and services . En Millard, C (eds.);Cloud computing law. (1-17). Oxford: Oxford University Press [ Links ]

Jijena Leiva, R., (2005). Comercio electrónico, firma digital y derecho . Santiago: Jurídica de Chile [ Links ]

Johnson, E.(2017). "Lost in the cloud: Cloud storage, privacy, and suggestions for protecting users’ data". Standford Law Review. (69), 867-909. Recuperado de https://stanford.io/3hInmY3Links ]

Klein Vieira, L.(2018). "Restricciones a la autonomía de la voluntad de las partes para la elección del derecho aplicable a los contratos internacionales con consumidores". Revista da Facultade de Direito. (73), 447-477. Recuperado de http://doi.org/10.12818/P.0304-2340.2018V73P447Links ]

Langos, C., Giancaspro, M.(2015). "Does cloud storage lend itself to cyberbullying?". IEEE Cloud Computing. 2 (5), 70-74. Recuperado de http://doi.org/10.1109/MCC.2015.102Links ]

Martínez Martínez, R. (2012). El derecho y el cloud computing . En Martínez Martínez, R (eds.);Derecho y cloud computing. (15-36). Pamplona: Thomson Reuters-Civitas-Aranzadi [ Links ]

Mayer Lux, L.(2014). "Almacenamiento de pornografía en cuya elaboración se utilice a menores de dieciocho años: Un delito asistemático, ilegítimo e inútil". Política Criminal. 9 (17), 27-57. Recuperado de http://doi.org/10.4067/S0718-33992014000100002Links ]

Momberg Uribe, R. (2013). Artículo 1 n.º 1: Definición consumidores o usuarios . En de la Maza, Íñigo, Pizarro, C., Barrientos, F (coord.);La protección de los derechos de los consumidores: Comentarios a la ley de protección a los derechos de los consumidores. (3-16). Santiago: Thompson Reuters [ Links ]

Momberg Uribe, R. (2019). La contraprestación del usuario en los contratos sobre contenido digital . En Gómez de la Torre, M., Hernández, G., Lathrop, F., Tapia, M (eds.);Estudios de derecho civil XIV. (721-736). Santiago: Thomson Reuters [ Links ]

Morales Ortiz, M.(2017). "Extensión del derecho de consumo a contratos B2B. Corte de Apelaciones de Antofagasta, 21 de diciembre de 2016, rol 174-16, Castro Perlaza, Diana con Supermercado Tottus Calama". Revista Chilena de Derecho Privado. (29), 329-335. Recuperado de https://bit.ly/3ej4eOiLinks ]

Puyol Montero, J., (2013). Algunas consideraciones sobre el cloud computing . Madrid: Imprenta Nacional de la Agencia Estatal Boletín oficial del Estado [ Links ]

Sandeen, S.(2014). "Lost in the cloud: Information flows and the implications of cloud computing for trade secret protection". Virginia Journal of Law and Technology. 19 (1), 1-103. Recuperado de https://bit.ly/310NSWSLinks ]

Severin Fuster, G. (2019). La potencial aplicación de la Ley 19.496 a los contratos de servicios de almacenamiento en la nube . En Gómez de la Torre, M., Hernández, G., Lathrop, F., Tapia, M (eds.);Estudios de derecho civil XIV. (959-982). Santiago: Thomson Reuters [ Links ]

Vargas Acosta, R.(2016). "Responsabilidad de intermediarios por infracciones a los derechos de autor en Chile, Paraguay y Costa Rica: Un análisis desde la libertad de expresión". Revista Chilena de Derecho y Tecnología. 5 (1), 37-163. Recuperado de http://doi.org/10.5354/0719-2584.2016.41782Links ]

Vergara Rojas, M.(2017). "Chile: Comentarios preliminares al proyecto de ley que regula la protección y tratamiento de datos personales y crea la Agencia de Protección de Datos Personales". Revista Chilena de Derecho y Tecnología. 6 (2), 135-152. Recuperado de http://doi.oeg/10.4067/S0718-34372013000300006Links ]

Vidal Olivares, Álvaro.(2019). "La cláusula resolutoria como manifestación de la facultad de resolver el contrato: Problemas en torno a su eficacia en el Código civil chileno". Universitas. 68 (138), 1-23. Recuperado de http://doi.org/10.11144/Javeriana.vj138.crmfLinks ]

Von Bar, C., Clive, E., Schulte-Nölke, H., (2010). Principles, definitions and model rules of European Private Law: Draft common frame of reference . Oxford: Oxford University Press [ Links ]

1Es posible hallar diversas definiciones de cloud computing. A modo de ejemplo: «A cloud is a platform or infrastructure that enables execution of code (services, applications etc.), in a managed and elastic fashion, whereas “managed” means that reliability according to pre-defined quality parameters is automatically ensured and “elastic” implies that the resources are put to use according to actual current requirements observing overarching requirement definitions – implicitly, elasticity includes both up- and downward scalability of resources and data, but also load-balancing of data throughput» («una nube es una plataforma o infraestructura que permite la ejecución de un Código (servicios, aplicaciones, etcétera) de una forma “administrada” y “elástica”, en donde “administrada” significa que está automáticamente asegurada la fiabilidad de unos parámetros de calidad predefinidos, y “elástica” implica que los recursos son puestos en servicio de acuerdo con los efectivos requerimientos actuales, observando definiciones generales de requisitos: implícitamente, la elasticidad incluye la escalabilidad de recursos y datos hacia arriba y hacia abajo, pero también el equilibrio de carga del rendimiento de datos») («The future of cloud computing: Opportunities for European cloud beyond 2010», Cloud Computing Expert Group on Research, 22 de noviembre de 2012, pp. 8-9, disponible en https://bit.ly/3fE7cgu). En términos similares, el National Institute of Standars and Technology (NIST) del U.S. Departament of Commerce define cloud computing como «A model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction» («Un modelo para permitir el acceso de red, ubicuo, conveniente y bajo demanda, a un grupo compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se pueden aprovisionar y liberar rápidamente con un mínimo esfuerzo de gestión o interacción por parte del proveedor de servicios») (Peter Mell y Timothy Grance, «The NIST definition of cloud computing», NIST, septiembre de 2011, p. 2, disponible en https://bit.ly/3di52Bx). En derecho comparado, encontramos una definición de cloud computing en el artículo 52 del Reglamento de la Ley Federal mexicana, de Protección de Datos Personales en Posesión de los Particulares, del año 2011, que lo define como un «modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o software, que se distribuyen de modo flexible, mediante procedimientos de virtualización, en recursos compartidos dinámicamente». Por último, conviene recoger la definición de los servicios en la nube o cloud computing que ofrece la Recopilación Actualizada de Normas (RAN) de la Superintendencia de Bancos e Instituciones Financieras (SBIF): «Modelo de prestación de servicios configurable según demanda, para la provisión de servicios asociados las tecnologías de la información a través de redes, basado en mecanismos técnicos como la virtualización, bajo diferentes enfoques o estrategias de suministro» (artículo 2, Definiciones, del capítulo 20-7).

2Con todo, suelen ser agrupados en tres categorías o «modelos de servicio»: i) infraestructura como servicio (infrastructure as a service, IaaS), que «describe la categoría de ofertas de cloud computing que pone a disposición de los usuarios los recursos informáticos básicos, tales como: almacenamiento, espacio de disco duro y servidores, como servicios bajo demanda» (Puyol Montero, 2013: 28); ii) plataforma como servicio (PaaS), en el que el cliente utiliza aplicaciones diseñadas por él mismo o por un tercero utilizando la infraestructura de programación que pone a su disposición el proveedor (García Sánchez, 2012: 42); y iii) programas o aplicaciones como servicio o (software as a service, SaaS), que son las «ofertas de cloud computing más adaptadas a las necesidades de la empresa» (Puyol Montero, 2010: 29), en el que el cliente utiliza las aplicaciones diseñadas por el proveedor del servicio, sin, generalmente, conocer el detalle ni tener capacidad de gestionar la infraestructura subyacente (García Sánchez, 2012: 42). Precisamente por esas características, el modelo SaaS es el tipo más usado de servicios cloud, en particular entre consumidores (Hon y Millard, 2013: 5).

3Se entiende por nube pública aquélla que es para uso del público en general bajo el control del proveedor de servicios que la aloja, opera y gestiona desde uno o más centros de datos sobre una infraestructura común para todos los usuarios (García Sánchez, 2012: 43). Además de las nubes públicas, existen las nubes privadas, que incluyen los servicios informáticos que se ofrecen a través de internet, o de una red interna privada para algunos usuarios y no al público general, de modo que sólo puede ingresar el cliente, el cual es un entorno más seguro y con mayor privacidad (private cloud). También existen las nubes comunitarias (community cloud), que son compartidas por varias organizaciones, y nubes hibridas o mixtas (hybrid cloud), en las que se actúa como propietario de una parte, la cual es inaccesible a terceros, y se comparte el acceso de otras partes. Sobre estas tipologías de nubes, o «modelos de despliegue», véase, por ejemplo, Martínez Martínez (2012: 19-20).

4En el ámbito europeo, hallamos una definición de «contenido digital» en el artículo 2.1 de la Propuesta de Directiva sobre contenido digital: «A efectos de la presente Directiva, se aplicarán las siguientes definiciones: 1. contenido digital: a) datos producidos y suministrados en formato digital, por ejemplo video, audio, aplicaciones, juegos digitales y otro tipo de software; b) servicio que permite la creación, el tratamiento o el almacenamiento de los datos en formato digital, cuando dichos datos sean facilitados por el consumidor; y c) servicio que permite compartir y cualquier otro tipo de interacción con datos en formato digital facilitados por otros usuarios del servicio». Comentando esta definición, Geiregat y Steennot (2017: 100-101) explican que ella se divide en tres descripciones alternativas, y que basta encajar con una de ellas para que sea posible la calificación como contenido digital.

5Drew Houston y Arash Ferdows, «Celebrating half a billion users», Work in progress, blog de Dropbox, 7 de marzo de 2016, disponible en https://bit.ly/2N3cben.

6Véronique Arène, «Dropbox réussit son entrée en bourse», Le Monde Informatique, 26 de marzo de 2018, disponible en https://bit.ly/2Y4Gise.

7«Google Drive will hit a billion users this week», Tech Crunch, 25 de julio de 2018, disponible en https://tcrn.ch/2Y7A6Qn.

8«El Dropbox reemplaza al pendrive y el primer “error” de un ministro: Los momentos de relajo del anuncio del gabinete», Emol, 23 enero 2018, disponible https://bit.ly/2N6BhZX.

9En el ámbito del derecho del consumo, la Ley 19.946 aborda algunos aspectos de la formación del consentimiento en el caso de los contratos electrónicos; son especialmente relevantes los artículos 12 A y 32. Con todo, conviene considerar que el contrato de servicios cloud no solo se celebra por medios electrónicos (que es el presupuesto de estas normas), sino que además se ejecuta en la nube.

10En efecto, la calificación de los servicios de cloud storage como contratos de servicio de consumo no es necesaria, porque si bien el proveedor de servicios de cloud storage en nubes públicas será calificado como «proveedor» a efectos de la Ley 19.496, el cliente del servicio podría no ser calificado como «consumidor» si no puede considerársele el destinatario o usuario final del servicio (véase Momberg Uribe, 2013) o bien, por quedar comprendido en la exclusión del artículo 1.1 de la Ley («en ningún caso podrán ser considerados consumidores los que, de acuerdo con el número siguiente, deban entenderse como proveedores»). La aplicación de esos criterios deja fuera de la calificación como consumidor, en principio, a las empresas con fines de lucro; aunque ha de considerarse la extensión de la protección a las pymes del estatuto del consumidor, que hizo la Ley 20.416 —una evolución de la extensión de la protección del consumidor, a las relaciones entre empresas (B2B) puede verse en Morales Ortiz (2017)—. Por último, además de los criterios sustantivos de aplicación, habría que considerar la aplicación de la Ley 19.946 desde un punto de vista espacial, en virtud de que son contratos que se celebran y ejecutan en la nube, y en los que existen cláusulas de jurisdicción y legislación aplicable. Sobre este punto, véase Severin Fuster (2019: 970 y ss.).

11Google cuenta con oficinas en la ciudad de Santiago, como se puede apreciar en su sitio web: https://bit.ly/3frqu8O.

12En este sentido, nuestras Cortes de Apelaciones han conocido y fallado varios recursos de protección en contra de Google Chile por vulneración del derecho al honor y por imputaciones injuriosas hechas a través de sus servicios. Un caso conocido en 2012 es el del recurso de protección presentado por Jorge Abbott en contra de Google, que la Corte de Apelaciones de Valparaíso falló en favor del recurrente, y que perseguía que se eliminara de los motores de búsqueda Google.cl la vinculación de su nombre con la expresión «corrupto» y otras expresiones atentatorias a su honor. Sentencia de la Corte de Apelaciones de Valparaíso, causa 228/2012, 30 de julio de 2012.

13En la propia página web de Google, hay información sobre su data center ubicado en Chile («Nuestro primer centro de datos en Latinoamérica», Google, disponible en https://bit.ly/2YNDAXh). Además, a mediados de 2019, los medios de comunicación informaban que Google instalará un segundo data center en nuestro país (Verónica Reyes, «Google instalará un nuevo data center en Chile: Ya definió lugar e inversión será de US$200 millones», Biobío Chile, 19 de julio de 2019, disponible en https://bit.ly/30RkqSV); y a comienzos de 2020, ya existía autorización por parte de la autoridad ambiental (Rodrigo Olivares, «Autoridad ambiental respalda aprobar nuevo data center de Google por US$ 200 millones», El Mercurio, 14 de febrero de 2020, disponible en https://bit.ly/2YJo7HI). De hecho, otras empresas que ofrecen servicios de almacenamiento en la nube, como Amazon, han considerado la posibilidad de instalar data centers en nuestro país (G. Orellana y C. Alonso, «Amazon Web Services anuncia millonaria inversión en Chile», Pulso, 24 de octubre de 2019, disponible en https://bit.ly/3hFTlIa).

14En este sentido, Vial Undurraga (2013: 919), por ejemplo, sostiene que «la ley chilena contiene algunas normas que exigen imperativamente la aplicación de la ley chilena a ciertos contratos y que, por ello, prohíben o limitan el ejercicio de la autonomía respecto de ellos» y que «los contratos […] con consumidores celebrados o cumplideros en Chile están regidos imperativamente por las leyes chilenas de tal modo que las partes no pueden elegir gobernarlos por otras leyes que contengan normas menos favorables para el […] consumidor». Si se adoptase tal criterio, entonces la cuestión consistiría en determinar el grado de protección del derecho designado aplicable y, en consecuencia, admitir la elección de foro o derecho aplicable sólo en la medida que ello sea más favorable al consumidor (en este sentido, Klein Vieira, 2018: 467 y ss.). Puede sostenerse que el solo hecho de que el consumidor deba litigar en otro país, cuyo idioma y derecho no conoce, sumado a los costos que ello implica, determina que el nivel de protección sea más bajo. Con todo, existen algunas dificultades para admitir esa solución tratándose de los servicios de cloud storage. Sobre ello, y con detalle, Severin Fuster (2019: 970-975), con indicación, además, de las soluciones que existen a nivel de derecho comparado, legales y jurisprudenciales, para proteger al consumidor en los contratos internacionales.

15Sentencia del 12 de febrero de 2016, Corte de Apelaciones de París, Centro 2, Cámara 2 (RG 15/08624). Un comentario a esta sentencia en Severin Fuster (2019: 972-974).

16El texto íntegro de la demanda se pude consultar en el sitio web de ODECU, disponible en https://bit.ly/30ZaJSi. Es interesante destacar que, como se puso de relieve en varios medios de prensa, el propio director del Servicio Nacional del Consumidor (Sernac) había sugerido que tal demanda era inviable, sobre la base del carácter territorial de la Ley de Protección de los Derechos de los Consumidores. Aunque se discutió la admisibilidad de la demanda, la Corte de Apelaciones de Santiago, sin embargo, resolvió que la demanda sí era admisible. Sentencia de la Corte de Apelaciones de Santiago, causa 5351-2019, 5 de noviembre de 2019.

17«Servicio de almacenamiento en la nube para todos tus archivos», Dropbox, disponible en https://bit.ly/3hUwLf0.

18«Google Drive», Google, disponible en https://bit.ly/3hTz95O.

19«¿Qué es iCloud?» Apple, disponible en https://apple.co/3i1Xy9A.

20Por ejemplo, en la política de privacidad de los servicios de Google se lee: «Al crear una cuenta de Google, nos proporcionas información personal que incluye tu nombre y una contraseña. También puedes añadir un número de teléfono o datos de pago a tu cuenta. Aunque no hayas iniciado sesión en una cuenta de Google, también puedes proporcionarnos información como, por ejemplo, una dirección de correo electrónico para recibir actualizaciones sobre nuestros servicios. También recogemos el contenido que creas, subes o recibes de otros usuarios cuando utilizas nuestros servicios. Entre estos datos se incluyen los correos electrónicos que escribes y recibes, las fotos y los videos que guardas, los documentos y las hojas de cálculo que creas» (disponible en https://policies.google.com/privacy?hl=es).

21La Ley 19.628 define datos de carácter personal, o datos personales, como «los relativos a cualquier información concerniente a personas naturales, identificadas o identificables» (artículo 2, letra f). Según la definición de la OCDE, se entiende por datos personales «cualquier información relativa a una persona física identificada o identificable», lo que incluye, por ejemplo, el contenido generado por el usuario (como blogs, comentarios, fotos y videos, entre otros); actividades o comportamiento de los usuarios (lo que buscan, consultan y observan en internet, sus compras en línea, cuánto y cómo pagan, etcétera); los datos sociales, que incluyen listas de contactos y amigos en los sitios de redes sociales; los datos de localización (que incluye direcciones físicas, y direcciones IP); datos demográficos (edad, género, raza, ingresos, preferencias sexuales, filiación política, entre otros); y datos oficiales (nombre, información financiera, expedientes clínicos, etcétera). Véase «Exploring the economics of personal data: A survey of methodologies for measuring monetary value», OCDE, 2 de abril de 2013, disponible en https://bit.ly/3djfngu; y «Guidelines on the protection of privacy and transborder flows of personal data», OCDE, 11 de julio de 2013, disponible en https://bit.ly/2NfyMEO.

22Aspecto que se ha puesto de relieve, en Chile, al menos desde hace un par de décadas (cfr. Banda Vergara, 2000).

23El tratamiento de datos personales representa otro aspecto problemático de los servicios de cloud storage (aunque no exclusivo de ellos), sobre el que no podemos detenernos en este trabajo. Conviene, con todo, apuntar que la Ley 21.096 (16 de junio de 2018) modificó el artículo 19 número 4 de la Constitución Política de la República para incluir la protección de los datos personales en la garantía del derecho a la vida privada y a la honra: «La Constitución asegura a todas las personas: […] 4: El respeto y protección a la vida privada y a la honra de la persona y su familia, y asimismo, la protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley». A nivel legal, la materia está regulada en la Ley 19.628, sobre Protección de Datos de Carácter Personal; una regulación muy criticada desde su entrada en vigor (las críticas pueden verse en Jijena Leiva, 2005: 75-80), y hoy, veinte años después, considerada desactualizada, por la rápida evolución en materia tecnológica (Vergara Rojas, 2017: 116). Un reciente análisis sobre la importancia y las formas de protección de los datos personales, en Frigerio Dattwyler (2018). En particular, sobre la potencial aplicación de la Ley 19.628 para la protección de datos personales en relación con los servicios cloud, véase Herrera Bravo (2011).

24Dicha cesión de los datos personales (y su posterior comercialización por parte del proveedor) opera como moneda de cambio, de modo que, en realidad, no estamos frente a servicios gratuitos. Por eso, por ejemplo, el servicio que ofrece Facebook, pese a su conocido eslogan —en la portada de la página de inicio de Facebook se lee: «Facebook es gratis, y siempre lo será»—, en realidad «no es gratis» (Ira Winkler, «Facebook is not free», Computerworld, 17 de octubre de 2011, disponible en https://bit.ly/3fAMq1q). Sobre la cuestión de la contraprestación del usuario en los contratos sobre contenido digital en nuestro medio, véase Momberg Uribe (2019). El razonamiento es perfectamente aplicable a los contratos de servicio de almacenamiento en la nube, en el caso de que las cuentas sean «gratuitas».

25En efecto, el artículo 1.915 del Código Civil señala que «el arrendamiento es un contrato en que las dos partes se obligan recíprocamente, la una a conceder el goce de una cosa, o a ejecutar una obra o servicio, y la otra a pagar por ese goce, obra o servicio un precio determinado».

26Resulta útil, en este punto, traer a colación —por ser ilustrativa de esa amplitud— la definición de contrato de servicios que contiene el Borrador del Marco Común de Referencia: «A contract under which one party, the service provider, undertakes to supply a service to the other party, the client» («un contrato en el cual una parte, el prestador del servicio, se obliga a proveer un servicio a la otra parte, el cliente») (Von Bar, Clive y Schulte-Nölke, 2010: 1.597). El carácter tautológico de esa definición se supera al considerar la definición de servicio que contiene el mismo texto: «An obligation to supply a service is imposed if a party (the service provider) is bound to perform work undertaken according to the specifics needs and instructions of another party (the client). The work will requiere in any event the supply of labour and may also involve the input of materials and components. The outcome of a service can be, but need not be, a tangible inmovable structure, a corporeal movable or an incorporeal thing» («se impone una obligación de proveer un servicio si una parte (el prestador de servicio) está obligado a realizar la tarea asumida de conformidad con las específicas necesidades e instrucciones de la otra parte (el cliente). La tarea requerirá en todo caso el suministro de trabajo y puede además incluir el suministro de materiales o componentes. El resultado de un servicio puede ser, pero no es necesario que sea, una estructura inmueble tangible, una cosa mueble corporal o una cosa incorporal»).

27Sosteniendo que es posible aplicar, por analogía, las reglas del mandato, Barros Bourie (2012). Criticando esa aproximación y sugiriendo más bien una integración a partir de las reglas generales de obligaciones y contratos, Brantt Zumarán y Mejías Alonzo (2016). Con todo, ambas posiciones comparten, como punto de partida, la insuficiencia de la regulación que ofrece el Código Civil respecto de los contratos de servicios.

28En efecto, «while users can set preferences for some SaaS applications, and control how their own quota is used (for instance, storage space), their ability to customize applications is usually limited, and they cannot control how providers manage underlying resources» («mientras que los usuarios pueden establecer preferencias para algunas aplicaciones SaaS, y controlar cómo sus propias cuotas son utilizadas (por ejemplo, el espacio de almacenamiento) su capacidad para personalizar aplicaciones es usualmente limitada, y no pueden controlar cómo los proveedores de servicio administran los recursos subyacentes») (Hon y Millard, 2013: 13).

29«Bienvenido a iCloud», Apple, disponible en https://apple.co/3hFn7wY, para esta y las demás referencias.

30«Términos del servicio adicionales de Google Drive», Google Drive, disponible en https://bit.ly/3hFoGe8, para esta y las demás referencias.

31«Condiciones de servicio de Dropbox», Dropbox, 25 de junio de 2019, disponible en https://bit.ly/2Cc10he, para esta y las demás referencias.

32Sobre este punto, en particular, resulta de interés el caso resuelto por el Tribunal de Justicia de la Unión Europea, en una sentencia del año 2017. En el caso, se trataba de determinar si una emisión televisiva —que había sido captada y puesta a disposición del público por una persona que no contaba con los derechos sobre ella— podía ser copiada y almacenada en la nube por un usuario, que utiliza, con ese fin, los servicios de un proveedor de servicios de alojamiento; y en concreto, si ello podría hacerse al amparo del límite o excepción de «copia privada» que reconoce la Directiva 2001/29/CE, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información. El tribunal, en definitiva, entiende que «la Directiva […] en particular su artículo 5, apartado 2, letra b), debe interpretarse en el sentido de que se opone a una normativa nacional que permite a una empresa mercantil ofrecer a los particulares un servicio de videograbación remota en la nube de copias privadas de obras protegidas por derechos de autor, mediante un sistema informático, interviniendo activamente en la grabación de tales copias, sin la autorización del titular de los derechos». Sentencia del Tribunal de Justicia de la Unión Europea, asunto C-265/16, Sala Tercera, 29 de noviembre de 2017.

33Artículo 374 bis: «El que comercialice, importe, exporte, distribuya, difunda o exhiba material pornográfico, cualquiera sea su soporte, en cuya elaboración hayan sido utilizados menores de dieciocho años, será sancionado con la pena de presidio menor en su grado máximo. El que maliciosamente adquiera o almacene material pornográfico, cualquiera sea su soporte, en cuya elaboración hayan sido utilizados menores de dieciocho años, será castigado con presidio menor en su grado medio». Sobre la aplicación del tipo al almacenamiento en la nube, véase Mayer Lux (2014: 34).

34Véanse los artículos 85 L y ss. de la Ley 17.366, que sigue, en este punto, las directrices del derecho estadounidense: la Digital Millennium Copyright Act (DMCA) regula en la sección 512, las limitaciones de responsabilidad en relación con los materiales en línea («Limitations on liability relating to material online»), que señala una serie de condiciones para limitar la responsabilidad de los proveedores de servicio (service provider). Sobre esta responsabilidad, en el caso del derecho chileno, véase Cerda Silva (2014) y Vargas Acosta (2016: 148).

35Así, por ejemplo, la Corte de Apelaciones de Santiago rechazó un recurso de protección presentado por una jueza de familia, que solicitaba la eliminación de un video subido a Youtube, en cuyo título figuraba su nombre indicando que violaba los derechos de los niños. El recurso fue interpuesto contra, entre otras personas, Google Chile, en calidad de administrador de Youtube. La Corte de Apelaciones sostuvo que «en lo que dice relación con Youtube.cl, efectivamente, este es un servicio que presta Google Inc. y, tal como lo señala en su informe, es ajeno y no tiene intervención alguna en los videos que se suben a la página, puesto que solo se trata de una plataforma, sin que le corresponda o pueda verificar la información que allí se publica. En nuestra legislación, el artículo 85 letra p) de la Ley 17.336, modificada por la Ley 20.345, sostiene, refiriéndose a los motores de búsqueda, que éstos no tendrán la obligación de supervisar los datos que transmitan, almacenen o referencien, estableciendo un procedimiento especial en los casos de ilicitud que se describen en la norma» (sentencia de la Corte de Apelaciones de Santiago, rol 17321-2016, 10 de junio de 2016, considerando octavo). Apelada la sentencia, la Corte Suprema confirmó la decisión (sentencia rol 40.591-2016, Sala Tercera, 9 de agosto de 2016). En un caso similar, la Corte de Apelaciones de Valparaíso rechazó un recurso de protección interpuesto contra Google Chile Limitada, en calidad de administrador de Youtube, por imputaciones injuriosas (en este caso, la imputación hecha a un contratista de ser estafador) señalando, entre otras cosas, que «tiene razón la recurrida cuando asevera que no está obligada por ley a efectuar un control ex ante o preventivo del contenido de la información que se sube a la página y porque eso es imposible hacerlo dado el volumen de los videos que se suben». Sentencia de la Corte de Apelaciones de Valparaíso, rol 6196-2018, 28 de septiembre de 2018, considerando sexto.

36En este punto, conviene tener presente que, si bien las cuentas de los clientes son protegidas mediante claves (password), la mayoría de los servicios de cloud storage no encriptan la información de un modo que ella no pueda ser accesible para el proveedor. Esto suele expresarse bajo la fórmula «no hay secretos frente al proveedor».

37Sobre la relación entre el uso de almacenamiento en la nube y las infracciones de los deberes de secreto, véase Sandeen (2014).

38En especial, sobre la cuestión si el almacenamiento en la nube puede conducir al ciberacoso, véase Langos y Giancaspro (2015: 70-74).

39«Some SaaS services even use a single running application to serve multiple users. Again, different users’ data may be stored in the same database, even database table, posing potential security risks. Users must rely on the SaaS software to enforce separation» («Algunos servicios SaaS incluso utilizan una única aplicación en ejecución para servir a múltiples usuarios. Nuevamente, información de distintos usuarios puede ser almacenada en la misma base de datos, incluso en una misma tabla de base de datos, lo que plantea potenciales riesgos de seguridad») (Hon y Millard, 2013: 13).

40En 2011, Dropbox activó una actualización que por cuatro horas comprometió casi un millón de cuentas, en momentos en que más del 95% de las empresas más importantes de Estados Unidos comenzaban a almacenar su información en estos archivos virtuales. F. A. A., «¿Es seguro que los ministros de Piñera usen Dropbox?», La Tercera, 23 de enero de 2018, disponible en https://bit.ly/3hEChCD.

41El año 2014, iCloud se vio envuelta en el «Celebgate», el robo de más de quinientas fotos intimas de actores, cantantes y otros famosos. Dropbox, el año siguiente, sufrió el robo de 68 millones de cuentas, lo que derivó en que derivó en la filtración de contraseñas y direcciones de correo asociadas. F. A. A., «Es seguro…».

42Los autores sugieren, además, que uno de los factores que podría incidir en ello es si el cliente paga o no una suma de dinero por el servicio.

43En la doctrina nacional existen numerosos trabajos sobre la validez de las cláusulas de limitación y exoneración de responsabilidad, entre los que puede verse, por ejemplo, González Castillo (2011) y Bahamondes Oyarzún y Etcheberry Court (2017).

44Artículo 1.170 del Código Civil francés: «Toute clause qui prive de sa substance l’obligation essentielle du débiteur est réputée non écrite» («Toda cláusula que priva de su sustancia a la obligación esencial del deudor se considera no escrita »). El artículo cristaliza una tendencia jurisprudencial, que tiene como punto de partida el conocido caso Chronopost (cfr. Deshayes, Genicon y Laithier, 2016: 292-298).

Sobre el autor

Gonzalo Severin Fuster es abogado. Licenciado en Ciencias Jurídicas por la Pontificia Universidad Católica de Valparaíso, Chile. Máster en Derecho Empresarial y doctor en Derecho por la Universidad Autónoma de Madrid, España. Profesor de Derecho Civil, Pontificia Universidad Católica de Valparaíso. Su correo electrónico es gonzalo.severin@pucv.cl.

Recibido: 15 de Noviembre de 2019; Aprobado: 23 de Mayo de 2020

Creative Commons License Este es un artículo publicado en acceso abierto bajo una licencia Creative Commons