El Dr. Thomas Thalhofer es socio de Noerr y codirector de prácticas comerciales digitales. Thomas se especializa en cuestiones legales de digitalización económica, redacción de contratos y propuestas de proyectos legales en complejos proyectos de TI nacionales e internacionales, proyectos en la nube y programas de externalización de TI. También se centra en las transacciones corporativas en tecnología, resolución de disputas de TI y litigios, así como en licencias de software y leyes de protección de datos. Además de su extenso trabajo práctico, Thomas publica artículos regularmente. He is a member of the board of directors of ITechLaw Association, co-chair of the dispute resolution committee and co-chair of the outsourcing committee of the German Association of Law and Informatics and a member of the German Lawyers’ Association (IT working group). Thomas también da conferencias en el curso de certificación legal de TI y es profesor de derecho de TI en la Universidad de Munich. Thomas ocupó el sexto lugar entre los líderes legales de TI en The Masters y fue recomendado por el Manual de la Juventus, Chambers Europe, el Top 500 de la ley alemana y el famoso experto en derecho de TI: TMT y el mejor abogado de Alemania.
El Dr. Torsten Kraul es codirector de las prácticas comerciales digitales de Noerr. Proporciona asesoramiento legal y estratégico a empresas transnacionales, nacionales y emergentes para desarrollar e implementar proyectos en los campos de servicios digitales, tecnología de la información, Internet y comercio electrónico, y privacidad. Una de sus áreas de especialización es la implementación de modelos de negocios digitales innovadores y la aplicación de nuevas tecnologías (Internet of Things, inteligencia artificial, plataformas, aplicaciones, cadenas de bloques y big data, etc.).
1 ¿Cuáles son las características clave de las principales leyes y regulaciones que rigen la transformación digital en su área?
Alemania no tiene una ley integral sobre asuntos digitales. Por el contrario, se aplican los principios generales de la ley actual, aunque los aspectos específicos están cada vez más sujetos a la legislación. Muchos de estos desarrollos están formados por regulaciones y directivas europeas. Las principales fuentes de derecho civil, incluidas las responsabilidades generales y los principios contractuales, siguen siendo el Código Civil alemán que data de 1900 y las normas de protección del consumidor sobre los contratos en línea se han incorporado desde 2002. Otras leyes importantes sobre transformación digital incluyen la Ley de Derecho de Autor y la Ley de Medios Remotos, que incorporan las características clave de la Directiva 2000/31/CE (Directiva de Comercio Electrónico), como el principio del país de origen y la mitigación de las responsabilidades de los proveedores de Internet. Recientemente, Alemania ha promulgado algunas leyes importantes para enfrentar los desafíos de la era digital. Estos incluyen, en particular, la Ley de Seguridad de la Tecnología de la Información (ITSA) de 2015, que se actualizó en 2021 para fortalecer la Autoridad Nacional de Seguridad Cibernética y, por supuesto, para implementar legislación para el Reglamento Europeo de Protección de Datos Comunes (GDPR). ITSA es un desarrollo importante en el área de la transformación digital porque establece estándares de ciberseguridad y establece la obligación de informar sobre incidentes de seguridad de la tecnología de la información. Como parte de ITSA, la Ley de la Oficina Federal Alemana de Seguridad de la Información cubre operadores clave de infraestructura en áreas como la energía; Tecnología de la información; Telecomunicaciones Transporte y transporte, así como proveedores de servicios digitales. Estos destinatarios están obligados a tomar las precauciones organizativas y técnicas apropiadas para evitar la interrupción de su sistema de tecnología de la información. La Agencia Federal Alemana de Seguridad de la Información (GFOIS) monitorea el cumplimiento de las obligaciones bajo el Acuerdo de Seguridad de la Tecnología de la Información. Por otro lado, "GDPR" proporciona un marco legal para el uso de datos personales para garantizar la protección y seguridad de los datos. Como ley europea, GDPR se aplica directamente dentro de la jurisdicción alemana. Sin embargo, Alemania implementó GDPR en la nueva versión de la Ley Alemana de Protección de Datos (GDPA), que incluye algunos detalles alemanes permitidos por GDPR. El principio típico de GDPR y GDPA es que el procesamiento de datos siempre está permitido por la ley, lo que significa que el procesamiento de datos está prohibido a menos que lo permita el consentimiento o la regulación.
2 ¿Cuáles son los desarrollos recientes más notables que afectan los programas y proyectos de transformación digital de la organización dentro de su jurisdicción, incluidas las políticas gubernamentales o las iniciativas regulatorias?Para fortalecer la ciberseguridad, el gobierno ha tomado una iniciativa para enmendar el Acuerdo sobre TIC, entre otras cosas, para ampliar el poder de los sistemas mundiales de información y comunicación. La iniciativa condujo al nuevo Protocolo de seguridad de la tecnología de la información 2.0, que incluyó a empresas de interés público especial en el alcance de los protocolos de seguridad de la tecnología de la información, ampliando aún más la aplicabilidad de estas regulaciones, lo que significa que estas empresas ahora están sujetas a mayores estándares de tecnología de la información y obligaciones de informes. Como se aprobó hace unos meses, no se puede hacer una evaluación concluyente. De conformidad con la Directiva 2019/770/UE (Directiva sobre contenido digital y servicios digitales) adoptada por la UE en mayo de 2019, se realizarán cambios importantes en la ley contractual contenida en el CCG a partir del 1 de enero de 2022. Como resultado de la implementación, la ley alemana, por primera vez, establecerá disposiciones específicas para los contratos que brindan contenido y servicios digitales. Dada la amplia aplicación de la Directiva, dicha nueva ley contractual abarcará proyectos que van desde el contenido de los medios hasta el software, incluidos los modelos de ventas, arrendamiento y servicio, así como servicios y plataformas en la nube como Facebook, Aibo y Uber. Los términos clave de la directiva se refieren a un estándar uniforme de defectos, incluidos los derechos del cliente. Sin embargo, el alcance de la directiva se limita a la relación B2C que los consumidores pagan por los precios, y el gobierno alemán no extendió la nueva ley a las relaciones B2B en la implementación de la directiva. Sin embargo, los servicios no pagados se regirán por la ley si los consumidores hacen "pagos" al proporcionar datos personales.
3 ¿Cuáles son los factores legales y prácticos clave que las organizaciones deberían considerar para una estrategia exitosa de nube y centro de datos?A medida que los proveedores amplían su gama de servicios altamente personalizable, flexible y escalable, la subcontratación en la nube y el centro de datos ofrece una oportunidad importante para que los clientes ahorren recursos técnicos y financieros. Sin embargo, dicha contratación externa implica una serie de desafíos legales y prácticos. Los problemas de TI y de seguridad de datos no son solo los impulsores de la subcontratación en la nube, sino también los problemas asociados con la subcontratación en la nube. Aunque el procesamiento de datos será asumido por proveedores de TI externos, lo que resulta en operaciones fuera de control, los proveedores más grandes a menudo son más calificados y tienen recursos que los departamentos de TI internos para mitigar las amenazas a la seguridad. A nivel técnico, la integración y la compatibilidad con otras nubes y sistemas en el departamento de TI dentro de proveedores externos y organizaciones clientes son factores a considerar. Por lo tanto, se debe considerar cuidadosamente la decisión de confiar en el negocio y seleccionar el proveedor de tecnología de la información externo apropiado. Desde una perspectiva contractual, a los clientes a menudo les resulta difícil llegar a acuerdos de protección adecuados con los proveedores de la nube, especialmente cuando se trata de requisitos regulatorios específicos que requieren la implementación del proveedor (ver a continuación). A menudo, en forma de contratos angloamericanos, la mayoría de las cláusulas en la nube son amigables con los proveedores (por ejemplo, en términos de estándares de servicio, niveles de servicio, garantías y responsabilidades), y los proveedores a menudo rechazan cambios importantes debido a su naturaleza estandarizada. As German companies are bound by restrictions under German general terms and conditions law even in a B2B context, they will in many situations risk taking responsibilities vis-à-vis their customers without respective recourse under the contracts with cloud providers. Por lo tanto, para los clientes de la nube alemana, es importante negociar los términos de la nube con los proveedores o al menos examinar en qué medida estas disposiciones son exigibles al elegir la legislación alemana (ver a continuación). Cuando los servicios basados en la nube se ajustan al procesamiento de datos en el sentido de GDPR, deben cumplir con los requisitos de protección de datos aplicables y el marco contractual debe determinar que el cliente controla al proveedor de la nube en esta área. En general, existe una práctica establecida para considerar este tipo de procesamiento de datos. Sin embargo, después de que el Tribunal de Justicia de las Comunidades Europeas dictaminara en Schrems II que el escudo de privacidad UE-Estados Unidos era ineficaz y cuestionó la adecuación de las disposiciones contractuales estándar, había incertidumbre sobre el requisito de transferir datos que cumplían con la ley a los Estados Unidos. En vista de las negociaciones en curso con la UE sobre las futuras relaciones con el Reino Unido para retirarse de la Unión Europea, existen incertidumbres similares en la transmisión de datos al Reino Unido.
4 Cuando las organizaciones compran servicios de transformación digital en cada nivel de la "pila" de la nube, ¿qué puntos de firma, tecnologías y mejores prácticas se deben entender? ¿Cómo han evolucionado estos desarrollos en los últimos cinco años y cuál es el camino a seguir?Cuando se trata de la transformación digital a la nube, las organizaciones deben ser conscientes de que la computación en la nube generalmente implica una gran cantidad de subcontratistas y múltiples ubicaciones de servidores. En este sentido, las empresas deben garantizar que se establezcan estándares de desempeño claros y controles independientes en el contrato para que puedan responder a la escasa capacidad de control y acordar servicios de soporte. Además, las organizaciones deben considerar la ley aplicable. Si no hay una cláusula de elección legal en el contrato, la jurisdicción está determinada por el derecho internacional privado, en particular el Reglamento 593/298/CE (Roma I). Suponiendo que el acuerdo en la nube se rige por la ley alemana, la ley alemana se refleja en gran medida en la legislación, que es un factor clave para comprender y formar las reglas aplicables que determinan el tipo de contrato relevante. Estas diferencias dependen de la solución de computación en la nube. Los protocolos en la nube pueden ser contratos de servicio, trabajo o arrendamiento, cada uno de los cuales tiene diferentes efectos en las reglas que incluyen estándares de servicio, garantías, responsabilidades y rescisión. La complejidad adicional se deriva del hecho de que los contratos en la nube generalmente consisten en varios componentes de servicio generalmente diferentes que se combinan en un solo contrato. Por lo tanto, estos contratos generalmente se consideran contratos híbridos. Sin embargo, en particular, puede extraerse de una decisión del Tribunal Federal Alemán (GFCJ) sobre la clasificación de los contratos de servicios de aplicación, que establece que los acuerdos de servicios en la nube deberían, en principio, considerarse contratos de arrendamiento. Sin embargo, los servicios que van más allá de simplemente proporcionar servicios en la nube se describirán como servicios en el sentido de un servicio o contrato de trabajo. En los últimos años, ha habido una tendencia a que los proveedores de la nube proporcionen contratos estandarizados en lugar de contratos de subcontratación individuales orientados a proyectos. Los términos de la nube son en su mayoría amigables con los proveedores (por ejemplo, en términos de estándares de servicio, niveles de servicio, garantías y términos de responsabilidad) generalmente basados en el estilo angloamericano. De conformidad con los términos y condiciones generales de Alemania, estas disposiciones generalmente se consideran nulas o parcialmente inválidas si causan "desventajas irrazonables" a la otra parte. Aunque estos estándares siempre se aplican a los clientes alemanes B2C, los proveedores de la nube pueden evitar la aplicación de la ley alemana eligiendo la jurisdicción extranjera relacionada con los clientes B2B. Sin embargo, los clientes corporativos alemanes tienden a adherirse a los contratos legales alemanes. Una característica específica de los Términos y Condiciones Generales de Alemania es que se aplica incluso al contexto B2B, por lo que el formato estándar bajo la ley alemana siempre debe ajustarse en consecuencia. Hence, cloud providers have to take care when choosing German law as the applicability of T&C laws may render their international terms unenforceable in many respects.
5 En función de su experiencia, ¿cuáles son los argumentos típicos en la discusión del contrato? ¿Cómo resolver mejor estos argumentos?Con base en nuestra larga experiencia en la negociación de contratos en la nube (y otros subcontratos), el principal argumento es definir los estándares de servicio, incluidos los niveles de servicio aplicables y los términos de la garantía. En particular, para implementar salvaguardas apropiadas para los clientes, la calidad del servicio debe ser concreta y mensurable. Por lo tanto, cuanto más precisas sean las consecuencias legales de los acuerdos de nivel de servicio y los incumplimientos, más capaz será el cliente de defender sus derechos en caso de una interrupción. Otros aspectos importantes son el derecho de rescisión. Desde el punto de vista del cliente, el acuerdo debe proporcionar al cliente un derecho específico de terminación por último recurso. Las partes definirán diferentes situaciones en las que el cliente tiene derecho a rescindir el acuerdo por alguna razón (por ejemplo, si el proveedor del servicio infringe el acuerdo de nivel de servicio o retrasa la implementación de ciertos hitos clave). Por supuesto, la terminación debe estar vinculada a todos los datos devueltos al cliente en el formato apropiado y más soporte de transición por parte del proveedor de la nube cuando sea necesario. Con base en la falta de control sobre los servicios que se mueven a la nube, es importante que los clientes incluyan autoridad de monitoreo y auditoría en el marco contractual. Sin embargo, los proveedores de servicios de TI a menudo son reacios a permitir que los clientes realicen auditorías, especialmente en las ubicaciones de los proveedores. Este puede ser un tema importante de debate.
6 ¿Cómo afecta la ley de ciberseguridad en su jurisdicción el viaje de transformación digital de su organización?In addition to security requirements under the GDPR, there is increasing cybersecurity regulation in Germany. While general IT security provisions apply to all commercial information and communication services, providers of critical infrastructure and organisations in certain regulated sectors are subject to increased standards that are usually accompanied by technical guidelines that need to be implemented by internal IT departments and external service providers. Under German jurisdiction, organisations operating critical infrastructures as well as digital service providers are bound by the obligations set forth in the ITSA (see above). According to section 8c of the AGFOIS, providers of digital services shall take ‘suitable and adequate technical and organisational measures to manage risks to the security of the network and information systems which they use to provide the digital services within the European Union.’Además, deben informar inmediatamente a la AGF cualquier incidente de seguridad que afecte seriamente los servicios digitales que brindan en la Unión Europea. El mismo principio también se aplica a los operadores de infraestructura crítica. Además, deben tomar las precauciones organizativas y técnicas apropiadas para evitar la destrucción de la disponibilidad, integridad, autenticidad y confidencialidad de los sistemas, componentes o procesos de tecnología de la información que son determinantes de las funciones de la infraestructura crítica que operan. Los requisitos específicos de seguridad de TI se aplican a ciertos departamentos regulados. Si el destinatario es una organización bancaria, debe cumplir con el Artículo 25 (a) de la Ley de Bancos y las nuevas directrices de subcontratación de la Autoridad Bancaria Europea. Hay requisitos similares para las compañías de seguros. Entre otras cosas, esto requiere que las organizaciones relevantes desarrollen conceptos apropiados de emergencia de tecnología de la información. Además, existen requisitos reglamentarios especiales para la tecnología de la información en bancos y compañías de seguros, tal como se establece en los "Requisitos reglamentarios para la tecnología de la información en la industria bancaria" y los "Requisitos reglamentarios para la tecnología de la información en la industria de seguros". Si una organización es parte del sector de la energía, debe tener en cuenta los requisitos específicos de ciberseguridad de la Ley de la Industria de la Energía, en particular el Artículo 11 de la Ley de la Industria de la Energía. Desde un punto de vista operacional, si no obligatorio, el nombramiento de un oficial de seguridad de TI en la transformación digital y la provisión al funcionario de los conocimientos adecuados y la autoridad necesaria también son una función importante. Las empresas que se embarcan en el camino hacia la transformación digital están mejor familiarizadas con las normas alemanas de la industria de seguridad, como ISO/IEC 27001: En 2013, aunque no tenían ningún efecto legal directo, podrían utilizarse para explicar la asistencia cuando especificaran requisitos legales indefinidos relacionados con la seguridad de la tecnología de la información. Además, en el caso de ciberataques, el cumplimiento de las normas de la industria puede incluir una evaluación de si una empresa atacada o un empleado de responsabilidad personal es defectuoso. Hasta ahora, la ley ha proporcionado muy pocas especificaciones para la seguridad de TI en la transformación digital. Sin embargo, las normas minoritarias existentes deben cumplirse a toda costa para poder excusar a la parte perjudicada cuando la infraestructura digital es pirateada u otros ataques.
7 ¿Cómo afecta la ley de protección de datos de su jurisdicción a medida que la organización realiza la transformación digital?La Ley Alemana de Relaciones Públicas (y la Ley Alemana de Relaciones Públicas, que es su ley de aplicación alemana) establece los requisitos básicos para la protección de los datos en virtud de la legislación alemana. Aunque su principio estricto de que cada procesamiento de datos requiere justificación, para proteger los derechos individuales, de alguna manera limita las empresas basadas en datos, la legislación alemana no limita específicamente el libre flujo de datos. Tradicionalmente, Alemania concede gran importancia a la protección de datos. Sin embargo, la implementación de GDPR refuerza el enfoque de las empresas alemanas y otras organizaciones en la protección de datos, especialmente debido a una alta multa del 4% de los ingresos en virtud del Artículo 83 del GDPR, hasta 20 millones de euros o compañías (o grupos corporativos, según sea el caso). En particular, se espera que "GDPR" realice un trabajo de registro considerable, ya que todas las empresas que se ocupan de los datos personales deben establecer un registro separado de las actividades de procesamiento en virtud del Artículo 30 del GDPR y cumplir con las obligaciones del Artículo 13 y el Artículo 14 del GDGPR.
8 Desde un punto de vista legal, ¿qué deben hacer las organizaciones dentro de su jurisdicción para cambiar el desarrollo de software de cascadas (tradicionales) a DevOps (entregas continuas) a través de la agilidad (mejora continua)?Aunque la organización de desarrollo interno se reorganizó fundamentalmente con la implementación de nuevas estructuras y métodos de trabajo, la mayoría de los proveedores externos observaron cambios en el desarrollo desde un punto de vista legal. El desarrollo de software ágil y, lo que es más importante, la entrega continua significa que la revisión en curso también debe ir acompañada de asesoramiento legal continuo. Una de las principales ventajas del desarrollo ágil es que los clientes no están sujetos a largos ciclos de entrega. En este caso, el cliente recibe el producto flexible en un corto período de tiempo. Sin embargo, el uso de software ágil para desarrollar soluciones puede presentar riesgos significativos, y la experiencia del cliente con este enfoque es crucial para la aplicación exitosa de enfoques de proyectos ágiles, ya que los clientes deben participar en el proceso de desarrollo. Además, el establecimiento de métodos de desarrollo ágiles condujo a un gran cambio en el diseño del contrato. Los protocolos de desarrollo tradicionales basados en cascadas pueden servir como contratos de trabajo que protegen a los clientes porque permiten a los clientes exigir que los proveedores sean responsables de los resultados completos y mensurables, generalmente a precios fijos. Por otro lado, el desarrollo ágil y DevOps se basan en sprints o fases que, por definición, no son para productos terminados. Los contratos respectivos son más similares a los contratos de servicio, donde los proveedores no tienen tiempo y habilidades, no resultados específicos. Por lo tanto, también es más difícil determinar la garantía, la responsabilidad y el cumplimiento presupuestario de los proveedores de servicios en dichos contratos. Sin embargo, en función de los procesos y necesidades reales de los clientes, los contratos también se pueden personalizar para el desarrollo ágil y DevOps para incluir elementos basados en resultados, en particular garantías de aceptación y basadas en resultados.
9 ¿Qué constituye la mejor práctica para la gobernanza efectiva y la transformación digital dentro de su jurisdicción?Muchas empresas alemanas han establecido nuevas estructuras y unidades operativas para liderar la transformación digital, a menudo lideradas por la nueva función del director digital. Sin embargo, los estudios de cumplimiento de Noerr sobre el cumplimiento de los servicios digitales aún muestran que carecemos de conocimiento de la digitalización de la empresa. Dentro de la empresa, los conocimientos técnicos pertinentes deben garantizarse con la dotación de personal adecuada y la obligación de designar funcionarios de protección de datos debe enfatizarse claramente. Sin embargo, no hay mejores prácticas especiales en el mercado legal alemán. Por el contrario, la transformación digital se suma a la importancia del apoyo legal.
¿Qué aspectos y tendencias de la transformación digital crees que son los más interesantes y por qué?
Vemos que la transformación digital ha afectado a casi todos los asuntos legales en cada parte de nuestro negocio de clientes, desde el creciente énfasis en la infraestructura de TI a través de nuevos requisitos regulatorios hasta los contratos y responsabilidades involucrados en nuevas tecnologías como el análisis de datos o la plataforma. Esto requiere que busquemos soluciones nuevas e innovadoras para trabajar con nuestros clientes para promover la innovación y la transformación digital. Para nosotros, cada problema relacionado con la transformación digital es una oportunidad para encontrar las mejores soluciones para nuestros clientes y aumentar nuestra experiencia en esta área. También nos hace creativos porque muchos aspectos aún no han sido decididos por la ley alemana. Esto nos da espacio para aconsejar a nuestros clientes que encuentren la mejor solución y, a veces, que tengan la oportunidad de dar forma a las leyes futuras. Ser parte de este cambio no solo lo atestigua, sino que también brinda apoyo legal para crear las condiciones para una transformación digital exitosa, que es un lugar fascinante para nuestro trabajo.
Como profesional en esta área, ¿cuáles son los desafíos que enfrenta? ¿Cómo lidias con estos desafíos?La gente siempre se enfrenta al desafío de trabajar en un área legal que no está completamente regulada por los legisladores alemanes, ya que el desarrollo digital a menudo ocurre tan rápido que la legislación no puede hacer frente. Por lo tanto, siempre debemos buscar la comparabilidad de otras áreas legales, como la ley de construcción y los contratos de proyectos de TI, para proporcionar alguna orientación sobre cómo se desarrolla la ley.
¿Cuáles crees que son las cualidades y habilidades básicas de los consultores en esta área?Una de las cualidades básicas de los consultores en esta área de trabajo es tener una experiencia más profunda no solo en cuestiones legales sino también en cuestiones técnicas. Además, los consultores no solo deben comprender los asuntos legales importantes de TI, sino también trabajar en otros campos relacionados de forma interdepartamental para ver la "situación general". Lo que es más importante, los consultores en el campo de la tecnología de la información deben ser capaces de responder rápidamente a los desarrollos cambiantes para garantizar que él o ella pueda brindar el mejor apoyo posible a sus clientes, incluso cuando se encuentren problemas por primera vez.