LAS ÚLTIMAS ACCIONES JUDICIALES PUBLICADAS SOBRE RESPONSABILIDAD POR INCLUMPLIMIENTO EN EL LICENCIAMIENTO DE SOFTWARE PREOCUPAN AL SECTOR EMPRESARIAL

Últimamente son varias las noticias que se han publicado en las que el protagonismo lo adquiere la condena a alguna empresa por tener instalado “software pirata” (según su propia redacción), a raíz de las acciones jurídicas de la BSA (Business Software Alliance). En mi opinión, estas noticias que parecen prestar más atención a generar alarma y cierto “miedo” en las empresas licenciatarias de software, que en abordar la problemática de la causa que ha generado el incumplimiento y aportar una solución. En concreto, me refiero a las siguientes:

-       El Ayuntament de Barcelona, condenado a 870.000 euros por despliegue de software Novell/Netiq.

-       Las compañías Vicedo Martí y Enfavi, ambas alicantinas, al pago de una indemnización de 453.480 euros en concepto de daños y perjuicios (como equivalente al precio de las licencias no adquiridas) más intereses legales y costas judiciales.

-       Eighteen October, empresa valenciana, cuya responsabilidad podría oscilar entre 100.000 y 150.000 euros.

-       Cul de Sac y Trumbo Agencia Creativa SL -sin demanda interpuesta todavía- fueron objeto de un registro simultáneo por sorpresa, consecuencia de una investigación judicial contra la propiedad intelectual de Microsoft, Adobe y Autodesk. La responsabilidad a la que apuntan los fabricantes de software oscila se encuentra entre los 150.000 y 200.000 euros; si bien aún no han logrado probarla.

La pregunta que surge es cómo debemos interpretar correctamente estas noticias y cuáles son las medidas que se deben evitar para no encontrarnos con ese riesgo.

Cómo se debe entender el software instalado sin licencia

En contra del planteamiento de la BSA, que define a los incumplidores como instaladores y usuarios de “software pirata”, y que son tratados como tales; mi opinión es que en realidad son licenciatarios que se encuentran en una situación de infralicenciamiento. Ello al margen, por supuesto, de quienes instalan dolosamente software crackeado o llevan a cabo conductas equivalentes para lucrarse y recibir un beneficio (aunque sea empresarial) en perjuicio consciente de los fabricantes de software. La realidad es que, en la mayoría de los casos, la situación de incumplimiento aparece originada por la falta de implementación de los controles jurídicos, que actúan sobre los controles técnicos necesarios; y que permiten disponer de un conocimiento efectivo de la instalación de tecnología por parte de quienes toman las decisiones. Es decir, se trata de clientes de los fabricantes que en su momento adquirieron licencias de software, que son socios tecnológicos de los mismos y confían en su tecnología, y que normalmente satisfacen cantidades importantes de forma anual en concepto de mantenimiento.

Una situación de infralicenciamiento debe ser tratada como un conflicto de intereses, que muchas veces es generado -además- por el cambio de las condiciones de licenciamiento por el propio fabricante; y nunca como una situación de comisión de un delito de propiedad intelectual, como habitualmente posicionan las auditoras de license compliance o los despachos de abogados que actúan en su representación. La búsqueda de la solución debería llevarse a cabo gestionando el conflicto de esta manera, y no posicionando el incumplimiento de propiedad intelectual por parte del licenciatario proyectando su responsabilidad de manera unilateral. Precisamente por este motivo, en eCix tenemos incorporado en nuestro equipo de gestión de conflictos sobre licenciamiento a un “mediador oficial especializado y experto el auditorías de software”. De forma que cuando la búsqueda de la solución se estanca y el reclamante entra en términos prejudiciales, ambas partes puedan frenar ese camino y explorar una vía alternativa y amistosa en aras a no desgastar la posición de “cliente” -de una parte- ni de “socio tecnológico y proveedor" -de la otra-; y se pueda dirigir a las partes en conflicto hacia la realización de las cesiones que puedan ser necesarias entendiendo la posición del contrario y alcanzando un acuerdo satisfactorio.

Por qué aparecen las situaciones de infralicenciamiento

Excepción hecha de los actos dolosos de instalación de software ilegal con persecución de beneficio en la compañía instaladora y de un perjuicio en el fabricante del software, la realidad es que en la mayoría de los casos la responsabilidad se produce por una falta de implementación de un sistema de control jurídico de los riesgos legales derivados de la instalación y uso del software; que implica actuar sobre los controles técnicos y la gestión de activos de software que se lleva a cabo por los departamentos de tecnología. De hecho, se debe poner de relieve que sólo el 11% de las compañías españolas tienen implementado este control de “Compliance Software”, con la profundidad y especialización que planteamos en eCix.

La falta de informes de conformidad de inventarios de licencias adquiridas y de software instalado, así como la ausencia de informes de licenciamiento con la suficiente periodicidad origina que quien tiene que tomar las decisiones de compra de software o de despliegue del mismo carezca de las herramientas necesarias para decidir con fundamento. Un crecimiento de usuarios, un cambio de hardware, la instalación de un software de virtualización, el uso indirecto del software, etc. son situaciones que cuando no se llevan a cabo con las suficientes cautelas pueden originar una situación de incumplimiento desconocido para la empresa. Incluso, aunque nada de los anterior cambie, los fabricantes de software pueden unilateralmente alterar las métricas de cómputo de su licenciamiento; por lo que sus clientes se encontrarían en una situación de no compliance sin haber hecho nada.

A quién afecta

Ni los contratos de licenciamiento ni las normas generales distinguen entre el tamaño de la empresa o su actividad; por lo que todos están obligados al cumplimiento. Y, en consecuencia, todos pueden ser objeto de auditorías de licencias de fabricante.

No obstante, también es cierto que sus equipos de license compliance tienen sus propios criterios a la hora de señalar las empresas que deben ser nominadas para las campañas de revisión; en los que son criterios habituales: el sector, las compras realizadas en los dos últimos años, el tipo de licenciamiento adquirido, inclusión en campañas anteriores o de otros fabricantes, etc.

Vale la pena recordar las palabras de Carlos Pérez, abogado de la BSA: “[…] es cierto que los procedimientos que se llevan por la vía judicial suelen ser contra compañía de gran envergadura, mientras que en la pequeñas y medianas intentamos llegar a acuerdos” (Carlos Pérez, vía www.valenciaplaza.com). Actualmente también la Administración se encuentra bajo la lupa en estos procesos.

Empresas públicas o privadas, grandes o pequeñas, todas tienen la misma responsabilidad; si bien es cierto que los sistemas de control son más sencillos en unos casos que en otros.

Las cláusulas de auditoría

Efectivamente, las cláusulas de auditoría están incorporadas en muchos contratos de licenciamiento de software; por lo que el licenciatario debe cumplir su obligación. En caso contrario, cabe el riesgo de que suceda como en el supuesto de Cul de Sac y Trumbo Agencia Creativa SL, y la empresa se encuentre con una entrada y registro “in audita parte” (como decimos los abogados). Un trámite realmente desagradable y en el que pueden darse mucho errores en la toma de datos por la auditora del fabricante o el perito designado; y eso perjudicar a la empresa cliente. Ello, además de la ingratitud de la experiencia para alguien que es usuario de su software y que normalmente paga sus cuotas de mantenimiento.

Uno de los documentos que incorpora un proyecto CSV es el documento de procesos internos para la correcta gestión de activos de software y la canalización de auditorías de forma óptima, manteniendo una situación de cumplimiento contractual durante todo proceso; ofreciéndose el apoyo que pueda ser necesario por parte de un experto en riesgos legales del software.

La incorporación de un sistema de auditorías internas periódicas gestionadas por un third in true, imparcial y experto -como el equipo CSV de eCix-, permite que las auditorías de software dejen de ser un problema que enfrente al cliente con el fabricante; de forma que se fortalece la relación de confianza y colaboración entre ambos. Con lo que el compliance, o cumplimiento normativo, se acaba convirtiendo en un valor añadido en su relación.

Cuál es la solución para tener estos riesgos legales controlados

En primer lugar, departamento tecnológico debe tener su entorno controlado para disponer de información actualizada sobre posibles necesidades o stockage de licencias; por lo que deberá realizar periódicamente (cada 6 o 12 meses) un informe de conformidad sobre el software, comparando las licencias adquiridas y el software instalado; y teniendo en cuenta la métrica de cada fabricante. Esto se puede llevar a cabo de forma manual o automatizada a través de alguna herramienta de descubrimiento o autoinventario (denominadas coloquialmente “herramientas SAM”), según la complejidad de la instalación y el expertise del equipo IT.

Pero esto no permite sino entender la situación de licenciamiento, y las posibles necesidades; está lejos de constituir el mecanismo de vigilancia y control de los riesgos legales derivados del software. Para ello hace falta la implementación de un programa de “compliance software” que actúe sobre los resultados SAM. Del mismo modo que una “auditoría contable” actúa sobre la contabilidad y las cuentas anuales elaboradas por una gestoría o por el equipo interno de la compañía, con la finalidad de dar veracidad, cumplir con la normativa y evitar los riesgos legales derivados de la misma.

Un programa de compliance software, en eCix le llamamos CSV (Compliance Software Value), se ejecuta a través de un P-D-C-A (Plan-Do-Check-Act) que permite el control de algo que es esencialmente dinámico tanto por la propia instalación y accesos, como la normativa individual de aplicación (las normas de licenciamiento de los fabricantes). A través del mismo se implementan los controles necesarios, se designan las tareas y subtareas que correspondan para su cumplimiento; y se establece un marco de control basado en las normas ISO19770 y la nueva ISO 19601.

De esta manera, se asegura la efectividad de la gestión de activos de software (SAM) por parte del equipo de tecnología. Y, además, en caso de que en algún momento se produzca un incumplimiento no deseado ni conocido por la empresa, servirá de medio para acreditar que ésta implementó todos los medios necesarios para impedir el incumplimiento a los efectos de evitar la responsabilidad de la persona jurídica y los directivos en los términos del art.31 bis CP. Y permitirá que se posicione de otra manera con el fabricante a la hora de negociar la solución al conflicto de intereses.

Conclusión: la importancia del compliance software

El incumplimiento normativo del software no es sólo es un problema financiero de compras de las licencias que se encuentren en falta. Tras el cambio normativo que ya hemos comentado, falta de cumplimiento es un problema de compliance; por lo que debe ser reportado a los órganos empresariales más relevantes. Y esto, además de la problemática de afrontar la responsabilidad y plantear las soluciones, genera en primer lugar la típica pregunta del Consejero o el CEO: “¿Qué controles se implantaron para evitar que surgiera este problema? ¿Qué plan hubo para controlar estos riesgos legales?”. La contestación válida sólo puede ser una: “implementamos un programa de compliance software”.