Contratos cloud en la insolvencia : ¿datos rehenes o tabla de salvación?

Cuando la nube se convierte en un problema

La digitalización no es un fin en sí misma, pero crea dependencias que pueden convertirse en una amenaza existencial en tiempos de crisis. Cada vez más empresas externalizan sus datos y procesos críticos a la nube: sistemas ERP, contabilidad, bases de datos de clientes, comunicación. Mientras todo funciona, es eficiente y rentable. Pero ¿qué ocurre cuando una de las partes contratantes — la empresa usuaria o el proveedor de servicios cloud — se declara insolvente?

La práctica demuestra que los contratos cloud se convierten frecuentemente en un punto conflictivo durante la insolvencia. Los datos son intangibles, las disposiciones contractuales a menudo incompletas, y los instrumentos del derecho concursal no se ajustan perfectamente a los modelos de negocio digitales. Este artículo examina las principales cuestiones jurídicas y ofrece orientación práctica para una redacción contractual previsora.

El derecho de elección del administrador concursal: § 103 InsO

La norma central para los contratos bilaterales en la insolvencia es el § 103 InsO. Según esta disposición, para contratos que no han sido íntegramente cumplidos por ninguna de las partes al momento de la apertura del procedimiento, el administrador concursal puede elegir: exigir el cumplimiento o rechazar el cumplimiento.

Para los contratos cloud, esto significa concretamente:

• Insolvencia del usuario del cloud: El administrador concursal de la empresa usuaria puede decidir si el contrato cloud se mantiene o se resuelve. Si elige el incumplimiento, el proveedor cloud solo tiene un crédito indemnizatorio como acreedor concursal — en la práctica, un dividendo que con frecuencia no supera el porcentaje de un solo dígito.
• Insolvencia del proveedor cloud: Aquí la situación es especialmente delicada. Si el administrador concursal del proveedor rechaza el cumplimiento, la empresa usuaria pierde el acceso a sus datos y aplicaciones.

¿Es el contrato cloud un arrendamiento o un contrato de servicios?

La calificación jurídica es determinante, ya que el § 108 InsO establece que determinadas obligaciones duraderas — en particular los contratos de arrendamiento — subsisten con efecto para la masa concursal. La opinión mayoritaria tiende a calificar los contratos SaaS como obligaciones duraderas de carácter arrendaticio, lo que sería favorable para el usuario del cloud: el contrato se mantendría inicialmente.

Sin embargo, la cuestión jurídica no está definitivamente resuelta. Para modelos de Infrastructure-as-a-Service (IaaS) y Platform-as-a-Service (PaaS) pueden aplicarse valoraciones distintas. Una respuesta generalizada no es posible.

Acceso a los datos y derechos de entrega

El derecho de separación según el § 47 InsO

Quien pueda hacer valer un derecho real o personal sobre un objeto que no pertenece a la masa concursal tiene derecho a la separación conforme al § 47 InsO. Pero: ¿son los datos «objetos» en el sentido de esta norma?

La respuesta es jurídicamente controvertida. El derecho de bienes alemán no reconoce una «propiedad de datos» en sentido clásico. No obstante, se reconoce cada vez más que el usuario del cloud tiene al menos un derecho contractual de entrega de sus datos. Este debe, sin embargo, estar claramente regulado en el contrato — de lo contrario se avecina un arduo enfrentamiento con el administrador concursal.

La literatura especializada de Haufe señala acertadamente que la insolvencia del proveedor cloud constituye uno de los riesgos más graves del cloud computing, ya que el administrador concursal no está automáticamente obligado a entregar los datos.

Desafíos prácticos

Incluso cuando existe un derecho de entrega, surgen cuestiones prácticas:

• ¿En qué formato se entregarán los datos?
• ¿Quién asume los costes de la migración de datos?
• ¿Durante cuánto tiempo permanecen disponibles los datos tras la finalización del contrato?
• ¿Son los datos completos y exportables de forma coherente?

Estas cuestiones rara vez se resuelven de forma amistosa durante una crisis si no se han regulado contractualmente con antelación.

Vendor lock-in: el peligro subestimado

El vendor lock-in designa la dependencia técnica y económica de un proveedor cloud determinado. Los formatos de datos propietarios, las API específicas del proveedor y la ausencia de posibilidades de exportación hacen que un cambio de proveedor resulte costoso o imposible.

En una crisis, el vendor lock-in se convierte en una amenaza existencial: si el administrador concursal no continúa el contrato y un cambio rápido de proveedor no es técnicamente posible, la empresa se queda sin infraestructura informática funcional.

La Oficina Federal de Seguridad de la Información (BSI) ha formulado en su catálogo de criterios C5 requisitos que también abordan la portabilidad e interoperabilidad de los servicios cloud. A partir de julio de 2025, la certificación C5 será obligatoria para muchos servicios cloud.

La Ley de Datos de la UE: nuevas normas para la portabilidad cloud

Con el Reglamento (UE) 2023/2854 — la denominada Ley de Datos — la Unión Europea ha establecido por primera vez normas vinculantes para el cambio de proveedores cloud. Desde el 12 de septiembre de 2025, se aplican, entre otros, los siguientes requisitos:

• Plazo de preaviso: Los clientes cloud pueden resolver con un preaviso de dos meses e iniciar un cambio.
• Período de transición: El proveedor cloud debe posibilitar el cambio en un plazo de 30 días. Solo en caso de imposibilidad técnica puede prorrogarse el plazo hasta un máximo de siete meses.
• Eliminación de tasas: A partir de enero de 2027, en principio no podrán cobrarse tasas por el cambio.

Estas disposiciones refuerzan considerablemente la posición del usuario del cloud — también y especialmente en tiempos de crisis. Sin embargo, se aplican principalmente a los cambios regulares de proveedor. Si son exigibles y cómo en caso de insolvencia del proveedor aún no está definitivamente aclarado.

Implicaciones del RGPD: art. 28 y el encargo de tratamiento

El cloud computing constituye regularmente un encargo de tratamiento en el sentido del art. 28 RGPD. El proveedor cloud trata datos personales por cuenta de la empresa usuaria. De ello se derivan obligaciones específicas:

• Contrato de encargo de tratamiento: Debe existir un contrato escrito que regule el tratamiento de datos.
• Tratamiento sujeto a instrucciones: El proveedor cloud solo puede tratar datos conforme a las instrucciones del responsable del tratamiento.
• Obligación de supresión: Tras la finalización del contrato, los datos personales deben suprimirse o devolverse.

En la insolvencia del proveedor cloud, estas obligaciones entran en conflicto con las facultades del administrador concursal. El administrador concursal en principio no está vinculado por las instrucciones del responsable del tratamiento, sino que actúa en interés del conjunto de los acreedores. Amenaza un caos en materia de protección de datos si esta constelación no se ha previsto con antelación.

Escrow y estrategias de salida: la previsión es un deber

La mejor prevención de crisis es una estrategia de salida bien diseñada en el contrato cloud. Los siguientes elementos deberían ser obligatorios:

1. Escrow de datos

De forma análoga al escrow de software, los datos pueden depositarse regularmente ante un tercero de confianza independiente. En caso de insolvencia, el usuario del cloud tiene entonces acceso directo a una copia de seguridad actualizada de sus datos.

2. Cláusulas contractuales de entrega de datos

• Plazos de entrega: Plazos concretos para la entrega de datos tras la finalización del contrato (p. ej., 30 días)
• Formatos estándar: Especificación de formatos de datos abiertos y comunes (CSV, JSON, XML, volcados SQL)
• Garantía de integridad: Aseguramiento de que todos los datos, incluidos los metadatos, son exportables

3. Diseño resistente a la insolvencia

• Derecho de resolución especial en caso de solicitud de insolvencia del proveedor cloud
• Acuerdo de continuación: Obligación del proveedor cloud de mantener la operación durante un período transitorio
• Derechos de subrogación: Posibilidad de que un tercero continúe la operación

4. Copias de seguridad periódicas

Independientemente de las disposiciones contractuales, toda empresa debería crear periódicamente copias de seguridad locales de sus datos en la nube. Esto suena evidente, pero se descuida de forma alarmantemente frecuente.

Lista de comprobación: hacer los contratos cloud resistentes a las crisis

Para directivos y responsables de TI se recomienda la siguiente revisión de los contratos cloud existentes:

• Calificación jurídica: ¿Se clasifica el contrato como arrendamiento, prestación de servicios u obra?
• Entrega de datos: ¿Se incluyen disposiciones claras para la devolución de datos?
• Formatos: ¿Se han acordado formatos de datos abiertos y portables?
• Escrow: ¿Se ha convenido un depósito fiduciario de datos?
• Cláusulas de insolvencia: ¿Existen disposiciones para la insolvencia del proveedor?
• Conformidad con el RGPD: ¿Existe un contrato de encargo de tratamiento adecuado?
• Estrategia de backup: ¿Se realizan periódicamente copias de seguridad propias?
• Multi-cloud: ¿Depende la arquitectura informática de un único proveedor?

Conclusión: la dependencia digital exige protección jurídica

La nube se ha convertido en algo indispensable en la vida empresarial moderna. Pero la transformación digital no debe llevar a que las empresas cedan sus datos críticos sin garantías jurídicas. La insolvencia de un proveedor cloud o de la propia empresa puede producirse en cualquier momento — y entonces los fundamentos contractuales deben ser sólidos.

La interacción entre el derecho concursal (§§ 103, 108 InsO), el derecho de protección de datos (art. 28 RGPD) y las nuevas normas de la Ley de Datos de la UE crea un entramado normativo complejo que debe tenerse en cuenta desde el principio en la redacción de los contratos.

En compleneo le apoyamos en el diseño de contratos cloud resistentes a la insolvencia y en el desarrollo de estrategias de salida para su infraestructura informática. Hable con nosotros.