Revista Dixi
Derecho y políticas públicas

El software como servicio y el habeas data: una aproximación desde el derecho privado y constitucional en Colombia

Lainiver Mendoza- Munar+

Magíster en Derecho, Universidad ICESI. Abogada, Universidad Cooperativa de Colombia. Doctoranda, Universidad Carlos iii de Madrid. Directora del semillero de investigación Derecho y Tecnología de la Universidad Cooperativa de Colombia.

lainiver.mendoza@campusucc.edu.co

http://orcid.org/0000-0003-3750-3261

Recibido: 5 de enero del 2018 Aprobado: 1 de marzo del 2018 Disponible en línea: 1 de abril del 2018

Cómo citar:Lainiver Mendoza-Munar. El software como servicio y el habeas data: una aproximación desde el Derecho Privado y Constitucional en Colombia. DIXI 27. Abril 2018. doi: https://doi.org/10.16925/di.v20i27.2396

Resumen

Tema y alcance: el presente es un artículo de reflexión y busca revisar el manejo de datos personales, en Colombia, de las compañías que ofrecen software como servicio (SaaS - software as a service), examinando especialmente la regulación referente a habeas data en Colombia y los principios establecidos en este sentido vía jurisprudencial.

Características: se analizan diversos tipos contractuales desde el derecho privado y se determina la importancia de la regulación del manejo de datos personales en las plataformas que prestan el servicio de SaaS, partiendo no solo de principios constitucionales, sino también de la utilización de normas de derecho privado.

Hallazgos: a aplicación de principios constitucionales juega un papel relevante al momento de reglamentar los tipos contractuales de las empresas de tecnología, siendo al mismo tiempo importante los contratos según los principios estipulados en la ley y la jurisprudencia que tratan sobre datos personales.

Conclusiones: e pudo evidenciar la importancia de determinar la propiedad sobre el producto y la propiedad sobre la información, así como la relevancia de estipular estos aspectos en las plataformas tecnológicas que utilizan el modelo SaaS para operar en Colombia.

Palabras clave: computación en la nube, dato personal, derecho constitucional, derecho de propiedad, red social, software como servicio.

TEMA Y ALCANCE

Se hace necesario determinar la propiedad del dato y de las plataformas dentro de los contratos de las compañías de tecnología, por lo cual es importante establecer una cláusula exclusiva de ‘propiedad de la información’ en los contratos de ventas de licencias y de plataformas tecnológicas en la nube, teniendo en cuenta los principios constitucionales que establece la Corte Constitucional colombiana. Esto es relevante para las mipymes de desarrollo de software, pues en la presente investigación se ha podido verificar que las empresas de desarrollo de software afirman no tener conocimiento sobre los procedimientos a cumplir para redactar contratos que garanticen el respeto a los preceptos constitucionales.

Los contratos de tecnología, aunque atípicos, no cuentan con una estandarización porque son relativamente nuevos en su uso comercial; por ende, es importante establecer ciertos patrones contractuales a la luz de la legislación vigente para lograr un mejor manejo de la propiedad y el derecho fundamental a la intimidad y el habeas data, un trío jurídico que es de alta importancia a la hora de ejecutar un acuerdo y contar con una buena práctica jurídica que lleve a celebrar contratos exitosos y que, sobre todo, se adapte a las regulaciones domésticas existentes, en las cuales los datos personales, en principio, no son concebidos como bienes para comercializar.

CARACTERÍSTICAS

El software como servicio (SaaS - software as a service) es una de las formas contractuales más comunes de prestación del servicio software en la actualidad, en la que generalmente los datos y el soporte lógico están en poder de la compañía prestadora del servicio1. En este tipo de contratos, predomina por excelencia el trabajo intelectual sobre el físico. Un ejemplo común de la modalidad SaaS son las redes sociales: (propietarios del dato)hacen parte de una comunidad cuyo fin principal es crear relaciones personales, profesionales o de cualquier otra índole, siendo necesario que pongan sus datos a disposición del proveedor del servicio.

En Colombia, la Corte Constitucional ha concebido el dato personal como un elemento material que puede ser convertido en información cuando se inserta en un modelo relacional. Los datos interrelacionados adquieren sentido de esta forma, y esta corporación aclara que ese mismo dato hace parte de la identidad de su titular2. En Colombia, el manejo de datos personales está regulado por la Ley 1581 de 2012 3 y su Decreto Reglamentario 1377 de 20134. En un primer acercamiento al manejo de datos personales, se pueden apreciar dos dimensiones a tratar: una de índole constitucional y otra desde la perspectiva del derecho privado. Frente a estas dos dimensiones, encontramos que las redes sociales son una modalidad de SaaS y se conciben como servicios ofrecidos en masa; no se evidencia una individualidad en su concepción dada su naturaleza, y los datos de sus usuarios se almacenan en masa y se relacionan en masa. Generalmente, los términos y condiciones de uso de este tipo de plataformas tecnológicas se conciben para comunidades de usuarios, con necesidades comunes e intereses comunes, siendo usual la utilización de contratos de adhesión. Fernando Gandini5 al respecto establece que:

La disciplina de los contratos del consumidor se estructura sobre la base de este como realidad econó- mica actual que no representa al individuo como tal, o las formas individuales de negociar y de perfeccionar un contrato, sino más bien a una categoría de sujetos económicos general y anónima que llevan a cabo una elección de una serie de bienes ofrecidos en masa.

Las redes sociales proporcionan como servicio información de interés para sus clientes; esainformación de interés se rescata desde la gestión que se realiza con base en los datos de sus clientes,y es a partir de la recolección, el almacenamiento, el procesamiento, el análisis, la actualización y la modificación de los datos que la red social logra cumplir con su razón: ofrecer información relevante para sus usuarios. En este sentido, el dato personal inspira el nacimiento de relaciones contractuales entre el proveedor del servicio y el usuario, trayendo a su vez la necesidad de dar respuestas desde la ciencia jurídica al estado de la técnica de este tipo de negocios6.

Dado lo anterior, los usuarios de las redes sociales son una categoría de sujetos económicos, consumidores de los servicios ofrecidos por la red social, y al mismo tiempo son la principal fuente de insumo de datos que después tributan al objeto principal de la red social. En el mundo de la tecnología, es posible construir un activo cuyas principales piezas son los datos personales. Tal es el caso de las bases de datos y de las plataformas tecnológicas funcionales; básicamente, es la construcción de un activo propio con piezas ajenas, específicamente el dato personal. Desde el derecho constitucional, se concibe el sujeto por encima del patrimonio dando mayor relevancia al derecho de habeas data; y en otro sentido, para el operador del servicio SaaS se protege el derecho a la propiedad desde la concepción del derecho privado.

I. ASPECTOS CONSTITUCIONALES

La Corte Constitucional de Colombia ha realizado diversos y profundos análisis jurisprudenciales que han sido muy significativos para la organización normativa dentro del derecho de habeas data, como la Sentencia C-1011 de 20087, antecedente de la Ley 1266 de 20088, y la Sentencia C-748 de 20119, antecedente de la Ley 1581 de 201210. El alto tribunal muestra en esta jurisprudencia el pronunciamiento acerca del derecho de habeas data, debido a la existencia de grandes cantidades de datos personales que reposaban en centrales de riesgo y que eran administrados por empresas privadas, como es el caso de las entidades financieras. Fue así como se vislumbró en Colombia la necesidad de proteger los derechos fundamentales a la dignidad humana y al buen nombre, determinando que no pueden ser vulnerados en virtud de la actividad financiera y empresarial del país11.

La Ley 1581 de 2012, en su artículo 2, reza: “Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada”. Con esta disposición, queda claro que el ámbito de aplicación de la ley abarca a empresas del orden público y privado, pasando por las regulaciones establecidas por la Ley 1266 de 2006 que eran eminentemente sectoriales, pues es una ley que se concibió para el dato financiero.

Además de lo anterior, los textos jurisprudenciales mostraron cómo la actividad comercial del país debe obedecer a principios de orden constitucional, mostrando una constitucionalización del derecho privado y la obligación del sector privado a sobreponer el respeto a los derechos constitucionales ante el desarrollo de la actividad empresarial; en este caso, el respeto al derecho fundamental proclamado en el artículo 15 superior reza:

Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.

Respecto al derecho fundamental de habeas data, las sentencias mencionadas muestran cómo los titulares o propietarios del dato tienen derechos que van más allá del objeto contractual y se les garantiza la protección al habeas data como derecho fundamental autónomo12. Lo anterior inviste al titular del dato para ejercer acciones constitucionales y defender así su derecho fundamental cuando haya lugar. Sin embargo, el riesgo para los usuarios suele ser la falta de información pertinente sobre el funcionamiento de la plataforma y la finalidad del manejo de sus datos personales. Por ello, la Corte Constitucional ha desarrollado el principio de finalidad del dato, con el fin de garantizar que el usuario conozca los detalles del tratamiento que se le dará a su información personal.

Aunque la declaración de principios por la Corte Constitucional y las leyes existentes no son suficientes para salvaguardar los derechos de los clientes de las aplicaciones, es necesario que los principios que se establecen en la materia se apalanquen de estructuras estatales para su regulación. En el caso colombiano, la Superintendencia de Industria y Comercio (sic) cuenta con una Unidad de Protección de Datos Personales y busca el cumplimento efectivo de las obligaciones a cargo de los responsables del manejo de datos personales; sin embargo, la puesta en marcha de acciones en función de este propósito tiene dificultades dado que la falta de información y claridad en los procesos ha sido difícil de seguir para quienes tienen a su cargo el manejo de datos personales. Tal es el caso del registro nacional en bases de datos que tiene su origen en la Ley 1581 de 2012 y se regula mediante la circular externa 001 del 08 de noviembre de 2016 de la sic.

Además de las disposiciones ya mencionadas respecto a la protección de datos personales, se encuentra la Ley 1266 de 200813 que regula el manejo de habeas data en entidades financieras. También, encontramos la Ley 1581 de 201214, que establece el Sistema General de Protección de Datos, y por vía jurisprudencial, la Sentencia C-748 de 2011 ha señalado que estas normas deben aplicarse como un modelo híbrido de protección de datos. En el texto de la sentencia se establece que:

En el caso colombiano, el proyecto de ley que dio lugar a la Ley 1266 de 2008 y que fuera objeto de la Sentencia C-1011 de 2008, buscaba convertirse en una ley de principios generales aplicable a todas las categorías de datos personales, pero pese a su pretensión de generalidad, el proyecto de ley en realidad solamente establecía estándares básicos de protección para el dato financiero y comercial destinado a calcular el nivel de riesgo crediticio de las personas. Por ello en la referida sentencia, la Corte dejó claro que la materia de lo que luego se convertiría en la Ley 1266 es solamente el dato financiero y comercial. Por lo tanto, la Ley 1266 solamente puede ser considerada una regulación sectorial del habeas data. […] el legislador ha dado paso a un sistema híbrido de protección en el que confluye una ley de principios generales con otras regulaciones sectoriales, que deben leerse en concordancia con la ley general, pero que introduce reglas específicas que atienden a la complejidad del tratamiento de cada tipo de dato.15

Los antecedentes del manejo de datos de información financiera son amplios, pero son escazas la jurisprudencia y las leyes que se encuentran en el ordenamiento jurídico acerca del manejo de datos personales en la nube o en redes sociales. Cabe aclarar que existe regulación especial para el manejo de datos personales, pero no hay una regulación especial para el manejo de datos personales en los nuevos tipos de plataformas tecnológicas. Tal es el caso de la computación en la nube, donde el depósito de datos se da en entornos intangibles por excelencia y bajo preceptos de territorialidad en la actualidad ambiguos.

En cuanto a las partes intervinientes en la relación contractual frente al manejo de datos personales, las diversas categorías estipuladas en la Sentencia C-1011 de 200816 llaman la atención. Por eso, es importante verificar la sentencia mencionada y a su vez legislada en la Ley 1266 de 2008 que define:

  1. Titular de la información: Es aquella persona natural o jurídica a quien se refiere la información contenida en una base de datos y es sujeto de derechos de habeas data; los titulares de información tienen los siguientes derechos:

    1. Ejercer el derecho fundamental de habeas, mediante la utilización de los procedimientos de consultas o reclamos, sin perjuicio de los demás mecanismos constitucionales y legales
    2. Solicitar el respeto y la protección de los demás derechos constitucionales o legales, así como de las demás disposiciones de la presente ley, mediante la utilización del procedimiento de reclamos y peticiones.
    3. Solicitar prueba de la certificación de la existencia de la autorización expedida por la fuente o por el usuario.
    4. Solicitar información acerca de los usuarios autorizados para obtener información.
  2. Fuente de información: Es toda persona entidad en razón de autorización legal o del titular de la información la entrega a un usuario final. La fuente de información responde por la calidad de los datos suministrados al operador, la cual, en cuanto tiene acceso y suministra información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstas para proteger los derechos del titular de los datos.

  3. Operador de información: Se definen como operadores de información la persona, entidad y organización que recibe de las fuentes datos personales sobre varios titulares de información, los administra y los pone en conocimiento de los usuarios, bajo los parámetros previstos en la norma estatutaria. El operador adquiere deberes específicos luego de la recepción del dato transmitido por la fuente, respecto a la protección del derecho de habeas data del sujeto concernido, lo que incorpora obligaciones concretas en cuanto a la calidad de los datos, luego de la transmisión, pues a partir de esta actuación el operador adopta la posición de agente responsable de la protección del derecho al habeas data del sujeto concernido.

  4. Usuario de información: A luz de la sentencia motivo de estudio es la persona natural o jurídica que, en los términos y condiciones previstas en la norma estatutaria, puede acceder a la información personal suministrada por el operador o para la fuente, o directamente por el titular de la información, y se le sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos.

Conforme a lo anterior, estas categorías son útiles para conceptualizar las partes contractuales, ya que si bien por vía jurisprudencial17 se estableció según la Sentencia C-1011 de 2008, la misma corporación ha mostrado con la Sentencia C-748 de 2011 los principios que rigen la materia, estableciendo una nueva categoría que es el encargado del tratamiento:

El encargado del tratamiento es quien realiza del tratamiento de datos personales por cuenta del responsable del tratamiento, quien, en cumplimiento de los principios de libertad y finalidad, al recibir la delegación para tratar el dato en los términos en que lo determine el responsable, debe cerciorarse de que aquel tiene la autorización para su tratamiento y que el tratamiento se realizará para las finalidades informadas y aceptadas por el titular del dato. Si bien, en razón de la posición que cada uno de estos sujetos ocupa en las etapas del proceso del tratamiento del dato, es al responsable al que le corresponde obtener y conservar la autorización del titular, ello no impide al encargado solicitar a su mandante exhibir la autorización correspondiente y verificar que se cumpla la finalidad informada y aceptada por el titular de dato.

Al respecto, la Ley 1581 de 2012 establece en su artículo 3 los siguientes términos:

Se puede apreciar cómo la Ley 1581 de 2012 estableció términos más descriptivos en materia de manejo de datos y la calidad de las personas que intervienen. Es así como los responsables del manejo de datos deben tener en cuenta la Ley 1581 de 2012, la Ley 1266 de 2008 y las dos sentencias estudiadas para realizar una adecuada estructura contractual y así poder operar conforme a la ley y a la jurisprudencia colombiana.

Como se evidencia en el presente estudio, es necesario crear equilibro entre las diversas partes (autor, titular, propietario del dato); es un reto para las partes “legislar” sus contratos teniendo en cuenta los parámetros jurisprudenciales y las disposiciones existentes para el adecuado manejo de habeas data.

Lo anterior es posible dada la atipicidad que caracteriza a este tipo de contratos, que obedecen a situaciones empresariales y jurídicas precisas que carecen de un contrato tipo y de elementos esenciales establecidos por mandato de ley, lo cual crea la necesidad para las partes de establecer un contrato nuevo que está fuera de los tipos contractuales tradicionales y que regula nuevas maneras de obligarse contractualmente. A falta de regulación, tenemos como fuente la jurisprudencia, la doctrina y los principios generales del derecho.

Respecto a lo anterior, los principios jurídicos tienen un papel importante en la regulación de los contratos informáticos: la norma estatutaria se interpretará en el sentido de que se amparen adecuadamente los derechos constitucionales como son el habeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información18.

Es ahí donde se identifica un interés colectivo sobre la información como consecuencia del principio de finalidad19; sin embargo, se hace necesario revisar los orígenes jurisprudenciales de este principio. En la Sentencia C-1011 de 2008, se establece:

[…] b) Principio de finalidad. La administración de datos personales debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley. La finalidad debe informársele al titular de la información previa o concomitantemente con el otorgamiento de la autorización, cuando ella sea necesaria o en general siempre que el titular solicite información al respecto […] Cuando la finalidad se informa al titular de la información, conoce el objeto de la misma, la transformación que sufrirá la misma y los resultados que espera del operador de información, es así como se traba una relación jurídica que es necesario enmarcar en la legislación colombiana.20

Por ende, es importante que las plataformas SaaS contengan en sus términos y condiciones cláusulas específicas acerca de la administración de la información y, en términos generales, la exposición de su objeto de explotación económica; además, el usuario debe conocer de forma clara el tipo de servicios que ofrece el proveedor, así podrá decidir si aceptar o no los servicios que ofrece. Es recomendable, para la elaboración de contratos, darles aplicación a las diferentes sentencias constitucionales aquí expuestas y a las leyes en materia de protección de datos personales, asumiendo el modelo híbrido que básicamente propone la aplicación de la Ley 1266 de 2008 y la Ley 1581 de 2011, simultáneamente, de acuerdo con las necesidades de los contratos de protección de datos, a fin de darle un mejor alcance a la regulación contractual y un adecuado manejo a los datos personales, respetando la esfera constitucional y legal en la materia y reconociendo el derecho de habeas data como derecho fundamental autónomo.

II. REGULACIÓN DE LA PROPIEDAD DE LA INFORMACIÓN

En el campo de la tecnología, se presenta el fenómeno de la “despersonalización” de las relaciones humanas21 y se puede evidenciar cómo diversos sujetos del derecho realizan transacciones o transmiten información en la red, perdiendo la conciencia de las relaciones interpersonales y las obligaciones jurídicasque estas emanan. Tal es el caso de la apertura de una cuenta en redes sociales: el titular de la cuenta realiza toda la operación frente a su computador en un entorno netamente virtual y el fin primordial es pertenecer a la red, más allá del manejo de su información personal. En el ciberespacio, las relaciones humanas cambian los conceptos tradicionales del mundo físico y estos conceptos son evidentemente cuestionados, con lo que se corrobora cómo el derecho debe entrar a entender y a regular las diversas relaciones que se dan en la red. Uno de los conceptos de la información a ser analizados es su propiedad, dado que cada vez son más las personas que hacen uso de los servicios ofrecidos vía internet y cada vez es más alta la confianza depositada en este medio, en el que se registran desde datos personales públicos hasta información personal.

Dentro de la normatividad existente en Colombia acerca del almacenamiento en la nube, la Ley 23 de 1982, en su artículo 12 (modificado por el artículo 5 de la Ley 1520 de 201222), establece en su literal (a): “La reproducción de la obra bajo cualquier manera o forma permanente o temporal, mediante cualquier procedimiento incluyendo el almacenamiento temporal en forma electrónica”. De esta forma, podemos decir que en la legislación colombiana el cloud computing o almacenamiento en la nube se puede asemejar a la expresión “forma electrónica” y se enmarca como reproducción, que a su vez es un derecho patrimonial de quien ostenta la titularidad de una obra y en el caso de datos personales se refiere al propietario del dato.

El derecho de habeas data en el campo de la tecnología de la información está inmerso en relaciones contractuales sui generis, pues la información procesada y analizada hace parte del servicio que ofrecen las compañías, siendo los datos personales de sus clientes la materia prima en muchas ocasiones. El derecho de habeas data fue interpretado inicialmente como derecho a la intimidad, ya que los datos pertenecen a la esfera de la vida privada de las personas, luego fue interpretado como libre desarrollo de la personalidad y finalmente, a partir de 1995, fue considerado como derecho autónomo que hace parte de la autodeterminación informática y la libertad individual, así lo ha expuesto la Corte Constitucional colombiana. En la Sentencia C-748 de 2011, la Corte ha establecido los contenidos mínimos del derecho de habeas data y son:

I. El derecho de las personas a conocer –acceso– la información que sobre ellas están recogidas en bases de datos, lo que conlleva el acceso a las bases de datos donde se encuentra dicha información. II. El derecho a incluir nuevos datos con el fin de que se provea una imagen completa del titular. III. El derecho a actualizar la información, es decir, a poner al día el contenido de dichas bases de datos. IV. El derecho a que la información contenida en bases de datos sea rectificada o corregida, de tal manera que concuerde con la realidad. V. El derecho a excluir información de una base de datos, bien porque se está haciendo un uso indebido de ella, o por simple voluntad del titular –salvo las excepciones previstas en la normativa–.

La propiedad y el almacenamiento de la información deben ser analizados desde la computación en la nube, pues en este caso la ejecución de los negocios es de la siguiente forma:

La nube ofrece posibilidades mucho más amplias que las del solo almacenamiento. A partir de la información que se guarda en estos espacios, mediante los servicios prestados por los proveedores con base en el procesamiento de información se pueden crear datos nuevos, lo que se hace mediante el procesamiento de información. La cuestión surge es si esa información es propiedad exclusiva del cliente, o si por el hecho de participar el proveedor en la creación subsiguiente de información, la misma pasa a ser también propiedad suya.23

Sin embargo, muchas veces las empresas que ofrecen servicios de tecnología no tienen interés sobre la propiedad de la información, pero sí es importante aclarar dentro de sus contratos que los servicios utilizados desde la red no les dan a los titulares del dato, es decir, al usuario, ningún derecho patrimonial o moral sobre los hallazgos tecnológicos que resulten de la actividad empresarial o de la aplicación de modelos relacionales.

Teniendo cuenta la propiedad de la información, cabe recalcar que la seguridad de la información aplica para las dos partes del contrato, proveedor y usuario-cliente, pues es obligación del proveedor mantener estándares tecnológicos altos que permitan una adecuada seguridad de la información que almacena y procesa, y para el usuario es obligación adoptar las medidas necesarias para proteger la información.

Es importante aclarar que seguridad no es sinónimo de privacidad; la privacidad la dan los niveles de acceso y de exposición de la información que el cliente determine en la configuración de su software. De esta forma, el proveedor tiene la obligación de proporcionar servidores seguros o contratar proveedores de servidores seguros, caso en el que es necesario informar a los clientes acerca de la participación de una tercera persona en la relación contractual, siendo esta una obligación clave dentro del contrato.

La Corte Constitucional, en Sentencia C-748 de 2011, frente al principio de seguridad estableció:

Principio de seguridad: Al amparo de este principio, la información sujeta a tratamiento por el responsable o encargado se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Respecto a los clientes, se debe establecer la importancia de hacer uso responsable de la información estipulando el nivel de compromiso por pérdidas; por ejemplo, en los casos en que el cliente o un tercero borren la información de forma intencional o accidental.

Los Contratos de Tecnología y el Manejo de Datos Personales

Frente a los derechos de autor y la propiedad de los datos, ha primado la voluntad de las partes, y en el caso de la venta de licencias masivas de software, todo se reduce a contratos de adhesión. Tal es el caso del uso de los correos electrónicos, en el que diversas compañías nacionales y extranjeras ofrecen a los usuarios aceptar los términos y condiciones a cambio de gozar de los servicios onerosos o gratuitos que ofrezcan.

Analogías Contractuales en los Contratos de Tecnología

En los contratos informáticos, sin duda confluyen diversas relaciones que no tienen típicamente una regulación; sin embargo, es importante identificar los elementos de relevancia jurídica que se destacan en el modelo de negocio de contratos de tecnología que ofrecen servicios de computación en la nube, que son los siguientes:

  1. Objeto contractual basado en bienes intangibles.
  2. Causa contractual recae sobre servicios ofrecidos
  3. a partir de funcionalidades de un bien intangible.
  4. Manejo de datos personales.
  5. Ausencia de tipos contractuales.

Respecto al servicio SaaS y tratando de realizar una “adecuación” legal, se puede revisar en Colombia el contrato de agencia comercial, ya que en el SaaS la seguridad del sistema es responsabilidad del proveedor. Para realizar la gestión de negocio de los usuarios, en el Código de Comercio se establece:

Artículo 1317. Agencia comercial. Por medio del contrato de agencia, un comerciante asume en forma independiente y de manera estable el encargo de promover o explotar negocios en un determinado ramo y dentro de una zona prefijada en el territorio nacional, como representante o agente de un empresario nacional extranjero o como fabricante o distribuidor de uno o varios productos del mismo. La persona que recibe dicho encargo se denomina genéricamente agente.

Este contrato tiene diversas características que se pueden tener en cuenta al momento de realizar los contratos de tecnología, dado que si bien no genera un tipicidad contractual para este tipo de modelos de negocio, sí ofrece elementos interesantes que se podrían tener en cuenta y buscar adecuarlos a estos modelos de negocio. Como fuente para la creación de contratos, se podrían tomar artículos como los concernientes24 a remuneración del agente, justas causas para dar por terminado el contrato y el derecho de retención25.

Tomando el Código Civil colombiano como norma general, en su Capítulo ix se establece el arrendamiento de servicios inmateriales26:

Artículo 2063. Normatividad sobre obras inmateriales. Las obras inmateriales o en que predomina la inteligencia sobre la obra de mano, como una composición literaria o la corrección tipográfica de un impreso, se sujetan a las disposiciones especiales de los artículos 2054, 2055, 2056 y 2059.

Evidentemente, en el texto mencionado no se regulan las obras de soporte lógico, pero al ser el software una obra del intelecto, está protegido por derechos de autor, tal como se plasma en el Decreto 1472 de 200227, artículo 4:

Programas de ordenador: Los programas de ordenador están protegidos como obras literarias en el marco de lo dispuesto en el artículo 2° del Convenio de Berna. Dicha protección se aplica a los programas de ordenador, cualquiera que sea su modo o forma de expresión. Declaración concertada respecto del artículo 4°: el ámbito de la protección de los programas de ordenador en virtud del artículo 4° del presente tratado, leído junto con el artículo 2°, está en conformidad con el artículo 2° del Convenio de Berna y a la par con las disposiciones pertinentes del acuerdo sobre los ADPIC.

De esta forma, se define que el software es un derecho intangible y, como tal, se le deben aplicar las normas establecidas en los artículos 2063 al 2078 del Código Civil colombiano.

La diferencia entre el contrato de arrendamiento de servicios inmateriales y el contrato para la confección de obra inmaterial es objeto de diversas interpretaciones y discusiones entre los estudiosos del derecho civil. El criterio diferenciador al parecer más aceptado por la doctrina es la contraposición entre actividades de medios y de resultados: mientras en el contrato de obra el artífice se obliga a producir un resultado, con independencia del trabajo necesario para realizarlo, en el contrato de arrendamiento de servicios el contratante se obliga a desarrollar una actividad, es decir, a poner de su parte su actividad y capacidades personales, pero sin comprometerse a garantizar la obtención de un resultado determinado28.

Respecto a la relevancia de determinar si las obligaciones establecidas contractualmente en contratos de tecnología son de medio o de resultado, Monroy en su artículo establece:

En conclusión, el contrato de desarrollo de software corresponde por su naturaleza a un contrato para la elaboración de obra inmaterial de que trata el artículo 2063 C.C., que es una especie de contrato de arrendamiento de servicios inmateriales pero con la característica de establecer una obligación no de medios sino de resultado, consistente en el desarrollo y entrega de un programa de computador bajo los requerimientos y condiciones pactadas en el contrato.29

Sin embargo, para el caso específico es una obligación de medios la que los proveedores adquieren con los usuarios. Aunque el artículo 2063 del Código de Comercio establezca que el contrato de encargo para la elaboración de una obra es de resultado debido a la finalidad que se debe cumplir. Verbigracia, en el caso de contratarlos por medio de un contrato de obra por encargo, como la elaboración de una pintura, es necesario que esa pintura deba ser entregada por el artista como un producto final, considerándose así una obligación de resultado30.

Por otra parte, el almacenamiento de datos se puede comparar con el contrato de depósito bancario, ya que las medidas que se exigen a quien guarda dinero de otras personas se debe asemejar a la forma en que se cuiden los datos. Con respecto a este planteamiento, los avances jurídicos se han hecho notar en Colombia, donde no solo de forma sustancial sino también en el aspecto adjetivo del derecho se han logrado diversos avances, como es el caso de la Ley 1581 de 2012 y su Decreto 1377 de 2013 31.

El almacenamiento y la administración de la información computarizada cambia paradigmas tradicionales del derecho, ya que los medios físicos de almacenamiento son reemplazados por herramientas o máquinas que pueden ser virtuales y el uso de hardware es cada vez menor en el caso de computación en la nube o cloud computing:

Según el National Institute of Standards and Technology (NIST): La computación en la nube es un modelo para habilitar el acceso a internet en todas partes, convenientes y bajo demanda sobre un conjunto compartido de recursos informáticos (ej: redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser rápidamente accedidos con un mínimo esfuerzo de gestión o intervención del proveedor del servicio.32

Los usuarios actuales han encontrado en la computación un gran aliado para el almacenamiento de datos, en el que se pueden tener herramientas como Dropbox33, lo que hace pertinente citar un informe de prensa que dice:

“[…] now has 25 million users and 200 million files are saved daily, and more than 1 million every five minutes […]” 34

De esta forma, se puede corroborar cómo el almacenamiento virtual es una megatendencia y hace visible la confianza que genera a personas del mundo entero.

CONCLUSIONES Y HALLAZGOS

La aplicación de principios constitucionales juega un papel importante al momento de reglamentar los tipos contractuales de las empresas de tecnología, ya que al carecer de legislación específica para materia de propiedad en este sentido, es importante crear los contratos de acuerdo con los principios estipulados en la ley y la jurisprudencia que tratan sobre datos personales.

Sobre la propiedad, la jurisprudencia establece que los datos son en todo momento del titular de la información; sin embargo, respeta la voluntad de las partes en los contratos. Para esto, es sumamente importante que los proveedores den a conocer a sus usuarios la finalidad de la utilización de datos personales de la forma más clara y precisa posible, y además deben establecer cláusulas de protección a la propiedad intelectual sobre los productos tecnológicos derivados de la utilización de los datos. En este sentido, adquiere absoluta relevancia el principio constitucional de finalidad del dato.

En el caso del manejo de datos personales en Colombia, surge el estudio del derecho de la propiedad y su relativización en el campo del derecho privado. El Código Civil colombiano establece que el propietario tiene amplias facultades sobre el bien como el uso, el goce y la disposición, pero al entrar en el derecho moderno colombiano, se verifica la existencia de regulaciones nuevas e innovadoras. La Corte Constitucional de Colombia, por medio de la Sentencia C-1011 de 2008, y el Congreso de la República, por medio de la Ley 1581 de 2012 y sus diversas reglamentaciones, introdujeron al mundo empresarial colombiano el cumplimiento de ciertos parámetros para el manejo de la información, que muestran cómo el concepto tradicional de propiedad en lo referente a datos ha mutado hacia un concepto más dinámico y menos absoluto. Las personas o empresas que realicen desarrollos de software cuya estructura tenga como eje central datos personales cuentan con las limitaciones jurisprudenciales y legales que en materia de datos personales existen, y por ende, se relativiza el dominio sobre sus bienes y el ejercicio de derechos de autor sobre sus obras.

Los contratos de software son una obligación de resultados siempre y cuando el objeto contractual goce de claridad frente a las funcionalidades del producto a entregar; también se considera una obligación de resultado frente al manejo de datos personales obedeciendo al principio de finalidad del dato establecido por la Corte Constitucional colombiana.

El hecho económico es parte fundamental en la evolución de las sociedades y los avances tecnológicos sin duda muestran su avance económico, y allí el derecho no debe ser limitante. Aunque no existan normas especiales que regulen la materia del caso en Colombia, sí se pueden encontrar normas que regulan herramientas del caso, por ejemplo: tipos contractuales, leyes, principios y jurisprudencia que ofrecen características a tener en cuenta para la creación de las estructuras legales necesarias para regular los contratos de tecnología.

En los términos de uso y condiciones del servicio de redes sociales, es importante establecer tanto la protección de datos personales, como la propiedad de la información, es decir que el propietario del dato no debe ser concebido únicamente como titular de un derecho fundamental, sino que debe respetar la propiedad sobre el software del que ha decidido formar parte, y por ende, debe respetar la integridad de los nuevos productos que se pueden derivar de un modelo relacional de datos.

NOTAS

  1. “La modalidad tradicional y más común de los servicios de la nube se caracteriza por la prestación, mantenimiento y operación de un servicio que se le presenta al cliente a manera de sitio web. El cliente usa las aplicaciones del software y los recursos computacionales bajo demanda, con estructura llave en mano. La seguridad del sistema es controlada por el proveedor del servicio. El suscriptor del servicio únicamente tiene acceso a la edición de las preferencias y a unos privilegios administrativos limitados”. Véase Instituto Nacional de Tecnología de la Comunicación (INTECO). Riesgos y amenazas en cloud computing. Gobierno de España. (2011).
  2. Véase Corte Constitucional de Colombia. Sentencia 414/92. (M.P.: Ciro Angarita Barón; junio 16 de 1992).
  3. Véase Ley Estatutaria 1581 de 2012. Por la cual se dictan disposiciones generales para la protección de datos personales. Octubre 17 de 2012.
  4. Véase Decreto 1377 de 2013. Por el cual se reglamenta parcialmente la Ley 1581 de 2012 en Colombia. Junio 27 de 2013.
  5. Véase Fernando Gandini. La sorpresa como fenómeno jurídico en la legislación europea: formación y efectos. Precedente Revista Jurídica. 2015. Págs. 177-199. doi: https://doi.org/10.18046/prec.v0.1422
  6. “Los cambios, en el empalme del siglo XX y XXI, sin duda nos presentan desafíos interesantes y sumamente atrevidos que debemos afrontar para evitar el aniquilamiento del derecho como instrumento o herramienta de acceso a la justicia individual y social. […] La cibernética estudia las relaciones entre acciones y sus efectos objetivamente, lo que significa que debemos atender a los efectos de las acciones y no a la acciones mismas, pues es por aquellos (efectos) que se demuestra o explica el sujeto epistémico (o la necesidad a considerar al sujeto como epistémico). Para expresarlo en otros términos, debemos abandonar las objetividades construidas a priori e ingresar en el proceso de consecuencias sensibles al contexto de acción; renunciar a afirmar una posición absolutista (propia del positivismo jurídico) y asumir un relativismo productivo y reflexivo (como alternativa de un proceso de computación), modos nuevos, más complejos, de comprender y no explicar relaciones humanas. En realidad, lo que intentamos con este nuevo modelo, es comprender al sujeto y no meramente conocerlo. […] La ciencia jurídica genera objetividades duras, independientemente de los sujetos que los producen, porque las “abstraen” (Art. 30 C. Civil calidad de ente), descontextualizan, ocultan la condición del acto; la cibernética o metodología ciberjurídica intenta devolverle la incertidumbre a la acción y a sus efectos (teorema de Godel) y construir a partir de aquella las objetividades del sujeto en su epistema”. Véase Carlos Alberto Ghersi. Metodología de la investigación en las ciencias jurídicas. Editorial gowa. (2007). Págs. 59 y 60.
  7. Véase Corte Constitucional de Colombia. Sentencia C-1011/08. (M.P.: Jaime Córdoba Triviño; octubre 16 de 2008). Mediante la sentencia, se realizó la revisión previa de exequibilidad al proyecto de ley estatutaria de habeas data exigido por la Constitución Política de Colombia, donde se enmarcan diferentes conceptos y análisis acerca de la naturaleza de los datos, su importancia, aplicación y manejo en el ámbito público y privado en Colombia.
  8. Véase Ley Estatutaria 1266 de 2008. Por la cual se dictan las disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la provenientes de terceros países y se dictan otras disposiciones. Diciembre 31 de 2008.
  9. Véase Corte Constitucional de Colombia. Sentencia C-748/11. (M.P.: Jorge Ignacio Petrelt Chaljub; octubre 6 de 2011). La sentencia realiza análisis de constitucionalidad al texto del Proyecto de Ley Estatutaria 184 de 2010 Senado; 046 de 2010 Cámara, “por la cual se dictan disposiciones generales para la protección de datos personales”, con el fin de que la Corte adelante el estudio oficioso a que hace referencia el artículo 241-8 de la Constitución Política.
  10. Ley Estatutaria 1581 de 2012, supra, nota 3.
  11. Personas naturales dentro del derecho colombiano.
  12. Sentencia C-748/11, supra, nota 9: “En la jurisprudencia constitucional, el derecho al habeas data fue primero interpretado como una garantía del derecho a la intimidad, de allí que se hablara de la protección de los datos que pertenecen a la vida privada y familiar, entendida como la esfera individual impenetrable en la que cada cual puede realizar su proyecto de vida y en la que ni el Estado ni otros particulares pueden interferir. También, desde los primeros años de la nueva Carta, surgió al interior de la Corte una segunda línea interpretativa que consideraba el habeas data una manifestación del libre desarrollo de la personalidad. Según esta línea, el habeas data tiene su fundamento último “[…] en el ámbito de autodeterminación y libertad que el ordenamiento jurídico reconoce al sujeto como condición indispensable para el libre desarrollo de la personalidad y en homenaje justiciero a su dignidad”. Ya a partir de 1995, surge una tercera línea interpretativa que es la que ha prevalecido desde entonces y que apunta al habeas data como un derecho autónomo, en que el núcleo del derecho al habeas data está compuesto por la autodeterminación informática y la libertad –incluida la libertad económica–. Este derecho como fundamental autónomo requiere para su efectiva protección de mecanismos que lo garanticen, los cuales no solo deben pender de los jueces, sino de una institucionalidad administrativa que además del control y vigilancia tanto para los sujetos de derecho público como privado, aseguren la observancia efectiva de la protección de datos y, en razón de su carácter técnico, tenga la capacidad de fijar política pública en la materia, sin injerencias políticas para el cumplimiento de esas decisiones”.
  13. Ley Estatuaria 1266 de 2008.
  14. Ley Estatutaria 1581 de 2012, supra, nota 3.
  15. Sentencia C-748/11, supra, nota 9.
  16. Sentencia C-1011/08, supra, nota 7. Mediante la sentencia, se realiza la revisión previa de exequibilidad al proyecto de ley estatutaria de habeas data exigido por la Constitución Política de Colombia, donde se enmarcan diferentes conceptos y análisis acerca de la naturaleza de los datos, su importancia, aplicación y manejo en el ámbito público y privado en Colombia
  17. Sentencia C-748/11, supra, nota 9: “En el caso colombiano, el proyecto de ley que dio lugar a la Ley 1266 de 2008 y que fuera objeto de la Sentencia C-1011 de 2008, buscaba convertirse en una ley de principios generales aplicable a todas las categorías de datos personales, pero pese a su pretensión de generalidad, el proyecto de ley en realidad solamente establecía estándares básicos de protección para el dato financiero y comercial destinado a calcular el nivel de riesgo crediticio de las personas. Por ello en la referida sentencia, la Corte dejó claro que la materia de lo que luego se convertiría en la Ley 1266 es solamente el dato financiero y comercial. Por lo tanto, la Ley 1266 solamente puede ser considerada una regulación sectorial del habeas data. Ahora, con el nuevo proyecto de ley se busca llenar el vacío de estándares mínimos de protección de todos los datos personales, de ahí que su título sea precisamente “Por el cual se dictan disposiciones generales para la protección de datos personales”, concluyéndose que con la introducción de esta reglamentación general y mínima aplicable en mayor o menor medida a todos los datos personales, el legislador ha dado paso a un sistema híbrido de protección en el que confluye una ley de principios generales con otras regulaciones sectoriales, que deben leerse en concordancia con la ley general, pero que introduce reglas específicas que atienden a la complejidad del tratamiento de cada tipo de dato”.
  18. Sentencia C-1011/08, supra, nota 7.
  19. Ley Estatutaria 1581 de 2012, supra, nota 3: “[…] b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular […]”.
  20. Sentencia C-1011/08, supra, nota 7.
  21. Jorge Mosset Iturraspe y Miguel A. Piedecasas. Contratos: aspectos generales. Rubinzal-Culzoni. (2005).
  22. Ley 1520 de 2012. Por medio de la cual se implementan compromisos adquiridos por virtud del “Acuerdo de Promoción Comercial”, suscrito entre la República de Colombia y los Estados Unidos de América y su “Protocolo modificatorio en el Marco de la Política de Comercio Exterior e Integración Económica”. Abril 13 de 2012.
  23. Daniel Peña Valenzuela y Juan David Bazzani Montoya. Aspectos legales de la computación en la nube. Editorial Universidad Externado de Colombia. (2008). Pág. 75.
  24. Código de Comercio, artículos 1317 al 1331.
  25. Juan Carlos Monroy Rodríguez. Cuestiones jurídicas en torno a los contratos de desarrollo y licencia de software. La Propiedad Inmaterial 16. Noviembre 2012.
  26. Código Civil Colombiano, Ley 57 de 1887 (sancionado en mayo de 1873).
  27. Decreto 1474 de 2002. Por el cual se promulga el “Tratado de la ompi, Organización Mundial de la Propiedad Intelectual, sobre Derechos de Autor (WCT)”, adoptado en Ginebra, el veinte (20) de diciembre de mil novecientos noventa y seis (1996). Julio 15 de 2002.
  28. Juan Carlos Monroy Rodríguez, supra, nota 25, Págs. 103 y 104.
  29. Id. Págs. 104 y 105.
  30. Id. Pág. 103.
  31. Id. Pág. 120.
  32. Ernesto Rengifo García. Computación en la nube. La Propiedad Inmaterial 17. Noviembre 2013.
  33. Dropbox es una plataforma web que permite a las personas sincronizar sus archivos a través de plataformas y dispositivos, con el fin de tenerlos disponibles desde cualquier lugar siempre y cuando exista acceso a internet. El servicio también permite compartir entre sus usuarios información almacenada, tienen servicios gratuitos y otros con cobro que dependen del nivel de servicio y el espacio de almacenamiento de información
  34. Traducción: “[…] Ahora tiene veinticinco millones de usuarios y doscientos millones de archivos son salvados todos los días y más de un millón cada cinco minutos […]”. Véase Michael Arrington. Dropbox hits 25 Million Users, 200 Million Files per Day. Disponible en http://techcrunch.com/2011/04/17/dropbox-hits-25-millions-users-200-million-files-per-day/

REFERENCIAS