Contrato SaaS
Modelo de términos y condiciones para microSaaS, plataformas B2B y servicios cloud facturados al consumidor o empresas. Cláusulas específicas: licencia de uso (no cesión), SLA con uptime, RGPD con DPA para clientes B2B, IVA según OSS para clientes UE, propiedad de datos del cliente y baja del servicio sin friction.
Modalidades de SaaS según cliente
B2C — Consumidor (microSaaS)
Plataforma de pago directo al consumidor (apps productividad, herramientas creativas, fitness). LCGC obligatoria, política privacidad simple, cancelación sin friction, IVA país del consumidor (OSS si UE).
B2B — Empresa (Pro/Enterprise)
SaaS contratado por empresas con planes Pro o Enterprise. SLA con uptime garantizado, DPA firmado, factura con reverse charge si UE. Posible negociación individual del MSA con grandes clientes.
White-label / Reseller
Otra empresa revende tu SaaS con su marca. Contrato específico con licencia comercial, exclusividad territorial opcional, soporte de segundo nivel, marca compartida.
Contenido del contrato SaaS (Términos y Servicio)
Identificación del proveedor SaaS
Datos completos del proveedor (NIF, dirección, registro mercantil, datos de contacto) según LSSI art. 10. Esta información también debe aparecer en el aviso legal de la web.
Objeto del servicio y plan contratado
Descripción de la plataforma, plan elegido (Free/Pro/Enterprise), funcionalidades incluidas y excluidas. Límites cuantitativos (usuarios, transacciones, almacenamiento, ancho de banda).
Suscripción, facturación y renovación
Cuota mensual o anual. Facturación recurrente con tarjeta o transferencia. Renovación automática salvo cancelación previa. Cambios de plan (upgrade/downgrade) y prorrateo. IVA aplicable según país del cliente.
SLA — Disponibilidad y soporte
Compromiso de uptime (99% / 99.5% / 99.9% según plan). Tiempos de respuesta del soporte por canal y prioridad. Mantenimientos programados excluidos. Penalizaciones por incumplimiento (créditos).
Propiedad intelectual
Software es propiedad del proveedor; cliente recibe licencia limitada. Datos del cliente son del cliente. Prohibido reverse engineering, scraping, uso para competir. Marcas y diseños protegidos.
Protección de datos (RGPD)
Política de privacidad enlazada. Si tratas datos de los usuarios finales del cliente B2B → DPA firmado (encargado de tratamiento art. 28). Subencargados (AWS, GCP, Stripe) listados. Brechas notificadas en 24h.
Limitación de responsabilidad
Limitar responsabilidad del proveedor a la facturación de los últimos 12 meses. Excluir daños indirectos (lucro cesante). En B2C cuidar LCGC art. 86 (no abusiva). En B2B la limitación se acepta más fácilmente.
Baja, exportación y derecho al olvido
Cancelación desde panel, sin friction. Exportación de datos en JSON/CSV antes y 30 días tras baja. Eliminación total RGPD art. 17 en 30 días (90 backups). Si proveedor cierra el servicio: preaviso 30 días B2C, 90 B2B.
¿Tu microSaaS necesita términos legales?
Sin Términos y Servicio + RGPD + DPA expones a sanciones AEPD de hasta 20 millones €.
Crear mi contrato gratis5 documentos OBLIGATORIOS para SaaS español: Términos y Condiciones (este), Política de Privacidad (RGPD), Política de Cookies (LSSI), Aviso Legal (LSSI art. 10), DPA si tratas datos de usuarios B2B (RGPD art. 28). Sin alguno de ellos: sanción AEPD hasta 20 millones € o 4% facturación. La baja del servicio NO puede tener más friction que el alta (botón cancelar en panel, sin llamadas ni emails de retención obligatorios). Para clientes UE, registrarse en OSS al superar 10.000€/año en ventas digitales transfronterizas.
Preguntas frecuentes sobre contrato SaaS
- ¿Qué documentos legales necesita una plataforma SaaS para operar legalmente?
- Mínimo CINCO documentos legales obligatorios: (1) TÉRMINOS Y CONDICIONES DE USO (este contrato): regula la relación con cada usuario o cliente. (2) POLÍTICA DE PRIVACIDAD (RGPD art. 13-14): qué datos recoges, finalidad, base legal, plazo, derechos del usuario. (3) POLÍTICA DE COOKIES (LSSI art. 22.2): banner conforme a la Guía AEPD 2023, consentimiento granular, rechazo tan fácil como aceptar. (4) AVISO LEGAL (LSSI art. 10): identificación del prestador del servicio (NIF, dirección, contacto, registro mercantil si aplica). (5) ANEXO DE ENCARGO DE TRATAMIENTO (DPA): si tratas datos de los usuarios de tu cliente B2B (típico en SaaS), eres encargado RGPD y necesitas DPA firmado. Documentos OPCIONALES pero recomendados: SLA (acuerdo de nivel de servicio para B2B), Acceptable Use Policy (qué uso está prohibido), DMCA Policy (si operas en USA). Sin estos documentos, sanciones AEPD hasta 20 millones € o 4% facturación.
- ¿Cómo se factura un SaaS? ¿IVA, OSS, retenciones?
- Tres escenarios principales: (1) CLIENTE PARTICULAR ESPAÑOL (B2C): IVA 21% repercutido al cliente. Sin retención IRPF (consumidor final no retiene). Si el SaaS facturase música, libros o periódicos digitales, IVA reducido 4-10% (consultar). (2) CLIENTE PARTICULAR UE (B2C): si superas 10.000€/año en ventas digitales transfronterizas a consumidores UE, OBLIGATORIO el régimen OSS (One Stop Shop) gestionado en la AEAT. Aplicas el IVA del PAÍS DEL CONSUMIDOR (Alemania 19%, Francia 20%, Italia 22%) y declaras trimestralmente. Por debajo de 10.000€, IVA español al 21%. (3) CLIENTE EMPRESA UE (B2B): factura SIN IVA con mención "Inversión del sujeto pasivo" + número IVA intracomunitario del cliente. Comprobar VIES. (4) CLIENTE FUERA UE (USA, UK, LATAM): factura sin IVA con mención "Operación no sujeta art. 70 LIVA". Verificar si el país del cliente exige IVA local (UK exige UK VAT si superas £85.000; algunos estados USA exigen Sales Tax). Para SaaS B2B con Stripe o Lemon Squeezy: la plataforma puede actuar como Merchant of Record y gestionar IVA/Sales Tax por ti.
- ¿Cómo proteger la propiedad intelectual del software SaaS?
- El software SaaS NO se cede, se LICENCIA. Estructura recomendada: (1) DECLARACIÓN DE PROPIEDAD: "El proveedor es el único titular de los derechos de propiedad intelectual e industrial sobre la plataforma, incluyendo código fuente, diseños, marcas, contenidos y todos los elementos técnicos." (2) LICENCIA AL CLIENTE: "Por la cuota pagada, el proveedor concede al cliente una licencia personal, no exclusiva, intransferible y revocable para usar la plataforma exclusivamente con la finalidad y dentro de los límites establecidos en estos términos." (3) PROHIBICIONES EXPRESAS: ingeniería inversa, decompilación, copia del código, creación de obras derivadas, reventa o sublicencia, uso para crear servicio competidor, scrapping masivo de datos. (4) DATOS DEL CLIENTE: el contenido que el usuario sube a tu SaaS (sus archivos, su info de clientes) ES SUYO, no del SaaS. Cláusula clara: "Los datos del cliente son y siguen siendo propiedad del cliente." (5) IA Y ENTRENAMIENTO: si usas datos del cliente para entrenar IA, debe ser opt-in expreso (no opt-out por defecto, aunque algunas grandes lo hacen). Tras la AI Act UE 2024 esto es cada vez más estricto.
- ¿Qué SLA ofrecer en B2B? ¿Garantía de uptime?
- En B2C suele bastar con "se ofrece el servicio en estado actual sin garantía específica" (con cuidado de no rozar la cláusula abusiva en LCGC art. 86 si excluyes responsabilidad totalmente). En B2B (cliente empresa) las grandes exigen SLA con garantías concretas: (1) DISPONIBILIDAD: 99.5% (3.6h caída/mes) suele ser el mínimo aceptable. 99.9% (43min/mes) es el estándar profesional. 99.99% (4min/mes) es enterprise (AWS, Salesforce). Excluir mantenimiento programado y fuerza mayor. (2) TIEMPOS DE RESPUESTA: incidencia crítica 1h, alta 4h, media 24h, baja 72h. (3) TIEMPOS DE RECUPERACIÓN: RTO (Recovery Time Objective) y RPO (Recovery Point Objective) ante caídas mayores. (4) PENALIZACIONES: incumplimiento del 99.5% → crédito 5%; incumplimiento del 99% → 10%; etc. Crédito = descuento próxima factura, NO devolución en efectivo. (5) MEDICIÓN: definir herramienta independiente (Pingdom, StatusGator) y excluir caídas por causas del cliente. Para microSaaS B2B pequeños, ofrecer 99.5% es realista y suficiente; subir a 99.9% requiere infraestructura redundante (Vercel + Cloudflare + DB con replicas) y multiplica el coste.
- ¿Cómo gestionar baja del servicio, exportación de datos y derecho al olvido?
- Cuatro escenarios obligatorios: (1) BAJA POR EL USUARIO: debe ser TAN FÁCIL como darse de alta. RGPD prohíbe friction excesivo. Botón "Cancelar suscripción" desde panel de usuario, sin tener que llamar ni enviar email. Stripe Customer Portal lo facilita. (2) EXPORTACIÓN DE DATOS: derecho a la portabilidad (RGPD art. 20). Exportar todos los datos del usuario en formato estándar (JSON, CSV, ZIP). El usuario debe poder descargarlos antes de cancelar y durante 30 días después. (3) DERECHO AL OLVIDO (RGPD art. 17): tras la baja, eliminación TOTAL de datos personales en plazo razonable (típicamente 30 días para producción + 90 días para backups). Excepciones: datos que debes conservar por obligación legal (facturas 4-6 años por ley fiscal). (4) BAJA POR EL PROVEEDOR: si decides cerrar el servicio, preaviso mínimo 30 días para B2C, 90 días para B2B. Garantizar exportación de datos durante todo el periodo de preaviso. Si cerrar el servicio implica cierre de empresa, hay obligación de notificar a la AEPD si no encuentras encargado para los datos. Documentar todo el proceso por escrito para defensa ante eventual reclamación.