Por Arturo Cuellar | Cuellar Abogados
Introducción
Los contratos de Software como Servicio — conocidos por su sigla en inglés, SaaS — se han convertido en un vehículo jurídico frecuente a través del cual las empresas acceden a tecnología crítica para su operación: plataformas de gestión empresarial, herramientas de colaboración, sistemas de nómina, soluciones de análisis de datos, infraestructura en la nube. Sin embargo, dada la velocidad con que estas herramientas se adoptan las empresas asumen compromisos cuyo alcance real no conocen, ceden derechos sobre sus propios datos sin saberlo, y quedan atadas a condiciones desfavorables cuando ocurren eventos tales como la interrupción del servicio, una disputa con el proveedor, o el intento de cambiar de plataforma.
Este artículo identifica las diez cláusulas que con mayor frecuencia generan conflictos en contratos SaaS, y ofrece criterios concretos para evaluar si los términos propuestos por el proveedor son aceptables o requieren negociación.
Por qué los contratos SaaS son distintos a los contratos de servicios tradicionales
Antes de entrar en el análisis de las cláusulas, conviene entender por qué estos contratos merecen un tratamiento diferente.
En un contrato de servicios tradicional, la empresa contrata una prestación puntual o periódica — una auditoría, una consultoría, un desarrollo a medida — y retiene control sobre los resultados. En un contrato SaaS, la empresa no adquiere el software: accede a él de forma continua, en la infraestructura del proveedor, bajo las condiciones que el proveedor establece. Esto genera tres características que definen el perfil de riesgo jurídico:
Dependencia operativa continua. La empresa no puede simplemente dejar de usar el servicio sin consecuencias operativas. La plataforma puede estar integrada a procesos críticos, y cualquier interrupción — planificada o no — tiene impacto inmediato.
Los datos residen en infraestructura ajena. Los datos que la empresa introduce en la plataforma — información de clientes, empleados, operaciones financieras — quedan alojados en servidores del proveedor, frecuentemente en el exterior. La pregunta sobre quién es el dueño de esos datos, qué puede hacer con ellos el proveedor, y cómo se recuperan al terminar la relación es crítica y frecuentemente no está bien resuelta en los contratos estándar.
Los términos los dicta el proveedor. La gran mayoría de contratos SaaS son contratos de adhesión: el proveedor presenta sus términos y condiciones, y el cliente los acepta o no los acepta. La negociación real solo ocurre en contratos de mayor valor o cuando el cliente tiene poder de negociación suficiente. Esto no significa que la revisión sea inútil — significa que la empresa debe saber exactamente a qué está adhiriendo.
Las diez cláusulas críticas
1. Propiedad y uso de los datos
Esta es, sin duda, la cláusula más importante. Un contrato SaaS bien redactado debe establecer con claridad que los datos introducidos por la empresa en la plataforma son y seguirán siendo de su exclusiva propiedad, que el proveedor no puede utilizarlos para fines distintos a la prestación del servicio contratado, y que no puede compartirlos con terceros sin autorización expresa.
Lo que frecuentemente dicen los contratos estándar del proveedor es algo muy distinto: que el proveedor puede utilizar los datos de forma agregada o anonimizada para mejorar sus productos, para análisis internos, o para otros fines no siempre bien definidos. En el contexto del régimen colombiano de protección de datos personales — y del Reglamento General de Protección de Datos de la Unión Europea (RGPD o GDPR) para empresas con vínculos europeos — estas cláusulas pueden constituir una transferencia de datos personales sin las garantías legales requeridas.
La pregunta que debe hacerse el equipo legal es: ¿puede el proveedor hacer algo con nuestros datos más allá de prestarnos el servicio? Si la respuesta es sí, o si el contrato no es claro al respecto, existe un tema que debe resolverse antes de firmar.
2. Acuerdos de nivel de servicio (SLAs)
Los SLAs — Service Level Agreements — definen el nivel de disponibilidad y desempeño que el proveedor garantiza, y las consecuencias cuando no se cumple. Son el mecanismo jurídico central para gestionar el riesgo de interrupciones del servicio.
Los elementos mínimos que debe contener un SLA adecuado son el porcentaje de disponibilidad garantizado, la definición de qué constituye una interrupción del servicio y cómo se mide, el procedimiento para reportar incidentes y los tiempos de respuesta comprometidos, y las compensaciones aplicables cuando no se alcanzan los niveles pactados.
Lo que suelen omitir los contratos estándar es igualmente relevante: muchos SLA excluyen de su cómputo las interrupciones programadas para mantenimiento — que pueden ser frecuentes —, los incidentes causados por fuerza mayor definida de manera amplia, y las situaciones imputables a terceros proveedores de infraestructura. El resultado es que el SLA cubre menos de lo que debería.
Para empresas cuya operación depende de manera crítica de la plataforma, el SLA debe negociarse con la misma atención que cualquier otra cláusula de riesgo operativo.
3. Limitación de responsabilidad e indemnización
La cláusula de limitación de responsabilidad define hasta dónde responde el proveedor si algo sale mal. En muchos contratos SaaS estándar, esta limitación es favorable al proveedor: la responsabilidad total suele estar limitada al monto pagado en los últimos tres o seis meses, con exclusión expresa de daños indirectos, lucro cesante, pérdida de datos, y daños reputacionales.
Si una interrupción del servicio le genera a la empresa pérdidas por operaciones no procesadas, clientes afectados, o datos corrompidos, el proveedor responderá únicamente por una fracción de ese daño. Desde la perspectiva del equipo legal, la pregunta relevante no es si esta limitación es justa en abstracto — el proveedor tiene razones legítimas para no asumir responsabilidades ilimitadas —, sino si el tope pactado guarda alguna proporción razonable con el daño potencial que un fallo del servicio podría causar.
La cláusula de indemnización, por su parte, establece quién responde frente a terceros por reclamaciones derivadas del uso del servicio. Los contratos bien estructurados distribuyen esta responsabilidad de manera lógica: por ejemplo, el proveedor responde por reclamaciones relacionadas con su propio software (infracciones de propiedad intelectual, vulnerabilidades de seguridad propias), y la empresa cliente responde por el uso que hace de la plataforma y los datos que introduce en ella.
4. Confidencialidad
La cláusula de confidencialidad regula qué información se considera confidencial, qué obligaciones tiene cada parte respecto de esa información, y por cuánto tiempo se extienden esas obligaciones después de terminado el contrato.
En contratos SaaS, el foco suele estar en proteger la información del cliente frente al proveedor. Sin embargo, hay dos elementos que frecuentemente se negocian de manera insuficiente. El primero, es la extensión de las obligaciones de confidencialidad a los subcontratistas y proveedores de infraestructura del proveedor principal — que pueden ser muchos en un entorno de nube —. El segundo, la duración de las obligaciones post-contractuales, que en algunos contratos estándar puede ser corta.
Para empresas que procesan información sensible de clientes, el equipo legal debe verificar además que la cláusula de confidencialidad sea compatible con las obligaciones de la empresa bajo la Ley 1581 en materia de encargados del tratamiento de datos personales.
5. Portabilidad de datos al terminar el contrato
La portabilidad de datos define cómo, en qué formato, y en qué plazo la empresa puede recuperar sus datos cuando decide terminar la relación contractual.
Los contratos que no regulan este punto — o que lo hacen de manera vaga — pueden dejar a la empresa en una situación de dependencia involuntaria. Dado que los datos están en la plataforma del proveedor, exportarlos requiere trabajo técnico significativo o tiene un costo adicional, y el proveedor no tiene obligación contractual de facilitar el proceso en condiciones razonables.
Las preguntas que debe responder una cláusula de portabilidad bien redactada son: ¿En qué formato se entregan los datos? ¿Es un formato estándar e interoperable, o propietario? ¿Cuánto tiempo tiene el proveedor para hacer la entrega? ¿Qué sucede con los datos en los servidores del proveedor después de la entrega? ¿Existe confirmación de eliminación?
6. Modificaciones unilaterales de los términos del servicio
Los contratos SaaS suelen incluir una cláusula que permite al proveedor modificar los términos del servicio con previo aviso — que en muchos casos es de apenas 30 días —, considerando que la continuación del uso equivale a aceptación de los nuevos términos.
En la práctica, esto significa que la empresa puede descubrir meses después de haber firmado que las condiciones sobre precio, disponibilidad, uso de datos, o funcionalidades han cambiado de manera material. Para empresas que han integrado la plataforma en procesos críticos, la posibilidad de simplemente dejar de usarla ante una modificación desfavorable es más teórica que real.
Una negociación razonable en este punto debe buscar que las modificaciones materiales — especialmente en precio, en condiciones sobre datos, o en limitaciones de responsabilidad — requieran consentimiento expreso del cliente y que ante modificaciones unilaterales materiales, la empresa tenga derecho a terminar el contrato sin penalidad dentro de un plazo razonable.
7. Ley aplicable y resolución de disputas
Esta cláusula define qué derecho rige el contrato y cómo se resuelven los conflictos. En contratos con proveedores internacionales — que es la mayoría en el mercado SaaS — los términos estándar suelen establecer la ley del estado donde está constituido el proveedor (frecuentemente Delaware o California en el caso de proveedores estadounidenses) y la jurisdicción exclusiva de tribunales o árbitros en ese mismo estado.
Cualquier disputa obliga a la empresa colombiana a litigar bajo un sistema jurídico extranjero, con costos y complejidades considerables. Para contratos de mayor valor, la negociación habitual incluye el establecimiento de arbitraje internacional bajo reglas reconocidas (ICC, UNCITRAL), con sede en una ciudad neutral, y con posibilidad de aplicación del derecho colombiano al menos para las materias reguladas por normas de orden público local — entre ellas, la protección de datos personales.
8. Seguridad de la información
La cláusula de seguridad define qué medidas técnicas y organizativas implementa el proveedor para proteger los datos de sus clientes, y qué ocurre cuando se produce una brecha de seguridad.
Los elementos mínimos que debe contemplar son: las certificaciones de seguridad que mantiene el proveedor (ISO 27001, SOC 2, entre otras), los procedimientos de notificación ante incidentes de seguridad — incluyendo los plazos, que en el contexto de la Ley 1581 deben ser compatibles con las obligaciones de la empresa frente a la SIC —, y la distribución de responsabilidades entre proveedor y cliente en caso de que la brecha sea parcialmente atribuible a configuraciones o usos del cliente.
Un elemento que frecuentemente falta en contratos estándar es la obligación del proveedor de informar proactivamente sobre vulnerabilidades conocidas en su plataforma, aun cuando no hayan derivado en un incidente concreto.
9. Subcontratistas y cadena de proveedores
La mayoría de plataformas SaaS no operan sobre infraestructura propia: utilizan servicios de nube de terceros (AWS, Google Cloud, Azure), proveedores de pago, servicios de soporte, y otros subcontratistas que tienen acceso, en mayor o menor medida, a los datos del cliente.
Un contrato SaaS bien estructurado debe identificar los subcontratistas principales o establecer un mecanismo para que el cliente los conozca, exigir que el proveedor principal imponga a sus subcontratistas obligaciones equivalentes en materia de confidencialidad y seguridad, y establecer que el proveedor principal responde frente al cliente por los incumplimientos de sus subcontratistas.
Desde la perspectiva del régimen de protección de datos personales, esta cláusula es especialmente relevante dado que la empresa cliente es el responsable del tratamiento, y los subcontratistas del proveedor pueden ser considerados encargados del tratamiento, lo que implica que deben actuar bajo instrucciones y con las garantías requeridas por la ley.
10. Precio, renovación automática y condiciones de terminación
Los contratos SaaS típicamente incluyen renovación automática por períodos iguales al original, con posibilidad de ajuste de precio por parte del proveedor al momento de la renovación.
Las preguntas que debe responder una cláusula bien redactada incluyen: ¿Con cuánta anticipación debe notificarse la no renovación? ¿Existen límites contractuales a los incrementos de precio en renovaciones? ¿Cuáles son las causales de terminación anticipada — tanto por incumplimiento como por conveniencia — y cuáles son las penalidades aplicables? ¿Existe un período de gracia para remediar incumplimientos antes de que la terminación sea efectiva?
Para contratos de mayor valor o duración, es recomendable negociar además cláusulas de estabilidad tarifaria por un período determinado y mecanismos de ajuste predecibles — por ejemplo, atados a un índice de precios — en lugar de incrementos discrecionales del proveedor.
Consideraciones especiales para proveedores con servidores fuera de Colombia
Cuando el proveedor SaaS aloja los datos en servidores ubicados fuera del territorio colombiano — que es el caso de la gran mayoría de plataformas internacionales —, la empresa cliente asume responsabilidades adicionales bajo el régimen de protección de datos personales.
La transferencia internacional de datos personales requiere que el país receptor ofrezca niveles de protección adecuados o que existan garantías contractuales suficientes. Esto implica que el contrato SaaS con un proveedor extranjero debe incluir — o complementarse con — cláusulas contractuales tipo o un acuerdo de encargado del tratamiento que establezca las obligaciones del proveedor como encargado bajo el derecho colombiano.
Adicionalmente, si la empresa tiene operaciones o clientes en la Unión Europea, el contrato debe contemplar también las exigencias del EU AI Act en la medida en que la plataforma utilice sistemas de inteligencia artificial, y del RGPD en materia de tratamiento de datos de personas en la UE.
Reflexión final
Los contratos SaaS no son documentos que se firman una vez y se olvidan. Son la base jurídica de relaciones que con frecuencia se extienden por años, involucran datos sensibles de la organización, y condicionan la capacidad de la empresa de cambiar de proveedor o de reclamar cuando algo falla.
El rol del equipo legal en estos procesos va más allá de revisar que el contrato no tenga cláusulas ilegales: es anticipar los escenarios en que la relación puede deteriorarse — una interrupción del servicio, una filtración de datos, un incremento de precio inaceptable, una decisión de cambiar de plataforma — y asegurar que el contrato otorgue a la empresa las herramientas jurídicas para gestionarlos.
Un contrato SaaS revisado con rigor antes de firmar es significativamente más barato que un litigio o una renegociación en condiciones de dependencia.
¿Tiene un contrato SaaS que necesita revisión o negociación? En Cuellar Abogados asesoramos a empresas en la estructuración y negociación de contratos de tecnología de alto valor. Contáctenos.
Arturo Cuellar es abogado especializado en derecho corporativo, tecnología, privacidad e inteligencia artificial. Fundador de Cuellar Abogados.