Bienvenido a mi página personal. Mi espacio web para compartir contigo mi visión de la abogacía, algunas conclusiones jurídicas, impresiones y estudios. A través de esta página puedes acceder a mi perfil profesional y personal; y contactar conmigo si lo deseas.

miércoles, 9 de marzo de 2011

SAM, un desconocido en España

Hablamos a menudo de los riesgos de que presenta el software ilegal, de las posibles responsabilidades civiles y penales, incluso de los costes en materia de productividad. Pero, ¿qué pueden hacer las empresas para tener un completo conocimiento del estado de su parqué informático? Porque no podemos negar que en numerosas ocasiones la situación de underlicensing se produce por un error del director de IT; o por un simple desconocimiento de la situación.

La solución es SAM (Software Asset Management); o, traducido al español, Gestión de Acitvos de Software.

El SAM incluye la confección de inventarios del software y su mantenimiento; así como el diseño y ejecución de políticas, procedimientos específicos, tecnologías, gestión de compras y recepción, instalaciones y soporte para todos los elementos que componen los activos de software de una organización. La norma UNE ISO/IEC 19770-1, publicada en junio de 2.008, define SAM.

De esta forma, la Gestión de Activos de Software es la solución que se presenta para todas aquellas empresas  que quieren tomar conciencia de, en primer lugar, en qué situación se encuentran sus licencias de software; y , en segundo, sacar el mayor partido de esos activos de software, como lo hacen con el resto de los activos empresariales con los que cuentan. SAM es además la vía para definir las compras y acuerdos que se deben firmar en el futuro con los fabricantes de software.

Un estudio sobre el coste medio que puede suponer la implementación de SAM en una empresa-tipo, permite fijar un coste aproximado de 30 euros por PC, y plazo aproximado de tres a cinco meses de implementación. Es significativo señalar que el retorno de inversión (ROI) suele ser de 5:1; y el tiempo de amortización de la inversión, inferior al año.

Habida cuenta de lo poco extendido que está el SAM en España (no así en otros países como los del Norte de Europa, o en Estados Unidos), creo que merece la pena definir un poco su contenido.

* Realización de un inventario de software.
Consiste en revisar qué títulos de software se han instalado y se utilizan en los equipos de la empresa, y consolidar los datos en un completo informe de situación. El inventario puede hacerse de forma manual  o automatizarlo mediante el uso de herramientas para la creación de inventarios, que ya existen en el mercado.

* Conciliación de Licencias.
Cuando ya se conoce la relación completa de software instalado, se lleva a cabo lo correspondiente con las licencias adquiridas. Y se procede a la comparación. En esta fase se podrá verificar si el número de licencias contratado se corresponde con el necesario; o si faltan o -porqué no- sobran.

* Revisión de políticas y procedimientos.
Se trata de definir  políticas y porocedimientos internos orientados a una correcta gestión en el tiempo de cualquier cambio en la composición y cuantía de los activos de software y sus licencias. 

* Desarrollo de un plan SAM con la documentación necesaria.
La última fase consiste en establecer un plan de cara al futuro, que garantice una gestión adecuada de los activos y una correcta aplicación de las políticas y procedimientos definidos. Implica auditorías periódicas, posibilidad de instalar una herramienta de autoinventario, modificación de registros y roles, mejora continua de las aplicaciones...

En fin, como hemos visto, controlar el parqué informático es una cuestión de voluntad y de responsabilidad para las empresas. Teniendo en cuenta que hoy existen en España compañías dedicadas específicamente a implantar SAM.

miércoles, 2 de marzo de 2011

Software ilegal y responsabilidad

El objetivo del presente trabajo es establecer el perímetro ordinario dentro del cual han de desarrollar su actividad habitual las empresas en relación con el uso del software; tratando de clarificar de la manera más sencilla el espacio jurídico; marcando los mojones que deslindan lo lícito de lo ilícito y, en este último caso, mostrar los riesgos que conlleva la ilicitud de conformidad con la legislación vigente en nuestro país.
El punto de partida ha de ser, pues, la constatación de los instrumentos legales más relevantes. De este modo se ha de partir de la Ley 22/1987 de 11 de Noviembre, de Propiedad Intelectual; la Ley 16/1993 de 23 de Diciembre, de Protección Jurídica de los Programas de Ordenador; la Ley Orgánica 10/1995 de 23 de noviembre, Código penal; el Real Decreto Legislativo 1/1996, Texto Refundido sobre Propiedad Intelectual, la Ley 23/2006, de 7 de julio, por la que se modifica el texto refundido aprobado por el Real Decreto Legislativo 1/1996; y en el ámbito procesal, la Ley 1/2000, de Enjuiciamiento Civil y; la Ley 38/2002, de Reforma Parcial  de la Ley de Enjuiciamiento Criminal.


NORMAS SUSTANTIVAS SOBRE PROPIEDAD INTELECTUAL

Ley 22/1987

La Ley 22/1987, de 11 de noviembre, de Propiedad Intelectual, se constituye en la norma primigenia del ordenamiento jurídico español en la que se otorga una protección legal expresa a los  programas de ordenador, dotándoles de los mismos derechos y medidas de protección que las conferidas a las restantes obras literarias, artísticas o científicas.
El régimen de protección prescrito mediante Ley de 1987, fue complementada con la aprobación  de la Ley 16/1993, de 23 de Diciembre, de Protección Jurídica de los Programas de  Ordenador, norma que establece importantes avances en la legislación dado que reconoce  la especial vulnerabilidad del software, por su facilidad de borrado y destrucción.

En ese sentido, la Ley 16/1993 reconoce el derecho exclusivo de los fabricantes de programas de ordenador a autorizar el uso y la reproducción total o parcial de los programas de ordenador de su propiedad -incluso para uso personal-, así como a cualquier tipo de distribución o de transformación sobre los programas de su propiedad.

La referida Ley 16/1993 en reconocimiento de la vulnerabilidad de la evidencia digital, introduce la posibilidad de que los juzgados realicen diligencias, en sede civil inaudita altera parte -sin previa notificación al presunto infractor-  con el fin de evitar la destrucción de pruebas.

Texto Refundido 1996

En cumplimiento del mandato establecido en la Disposición Final Segunda de la Ley 16/1993, mediante Real Decreto Legislativo 1/1996, se establece el texto refundido de todas las disposiciones preexistentes en materia de propiedad intelectual, texto actualmente vigente (y que ha incorporado algunas modificaciones desde entonces, tales como la protección jurídica de las bases de datos y las referidas a copias privadas). 

El referido texto reproduce los derechos ya reconocidos a los titulares de derechos de propiedad intelectual sobre programas de ordenador antes descritos, así como las correspondientes acciones y medidas de protección,  establecidas previamente en la Ley 16/1993. 

Así el artículo 10.1.i establece que: "Son objeto de propiedad intelectual todas las creaciones originales literarias, artísticas o científicas expresadas por cualquier medio o soporte, tangible o intangible, actualmente conocido o que se invente en el futuro, comprendiéndose entre ellas los programas de ordenador".

Estableciendo específicamente el régimen legal de los programas de ordenador en los artículos 95 a 104, constitutivos del título VII "Programas de Ordenador" del Libro I "Derechos de Autor" del TRLPI.

Normas penales

El Código Penal de 1995, tipifica los delitos contra la propiedad intelectual en los artículos 270 y siguientes, estableciendo penas de privación de libertad de hasta cuatro años, multas de hasta 24 meses, así como la inhabilitación para el ejercicio de la profesión.
En ese sentido, el tipo básico, establecido en el artículo 270.1 dispone: "Será castigado con la pena de prisión de seis meses a dos años y multa de 12 a 24 meses quien, con ánimo de lucro y en perjuicio de tercero, reproduzca, plagie, distribuya o comunique públicamente, en todo o en parte, una obra literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios".
El artículo 271 recoge los supuestos agravados: "Se impondrá la pena de prisión de uno a cuatro años, multa de 12 a 24 meses e inhabilitación especial para el ejercicio de la profesión relacionada con el delito cometido, por un período de dos a cinco años, cuando concurra alguna de las siguientes circunstancias:
- Que el beneficio obtenido posea especial trascendencia económica.
- Que los hechos revistan especial gravedad, atendiendo el valor de los objetos producidos ilícitamente o a la especial importancia de los perjuicios ocasionados.
- Que el culpable perteneciere a una organización o asociación, incluso de carácter transitorio, que tuviese como finalidad la realización de actividades infractoras de derechos de propiedad intelectual.
- Que se utilice a menores de 18 años para cometer estos delitos.
Será castigado igualmente quien fabrique, importe, ponga en circulación o tenga cualquier medio específicamente destinado a facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador".
Por último, la normativa penal establece que la extensión de la responsabilidad civil derivada de los delitos contra la Propiedad Intelectual se rige por las disposiciones de la Ley de Propiedad Intelectual relativas al cese de la actividad ilícita y a la indemnización de daños y perjuicios.
En el supuesto de sentencia condenatoria, el Juez o Tribunal podrá decretar la publicación de ésta, a costa del infractor, en un periódico oficial.

Leyes de Enjuiciamiento Civil y Criminal

El marco normativo se completa con los tipos de acciones judiciales que la normativa procesal pone a disposición de los fabricantes de programas de ordenador, con el fin de perseguir las infracciones cometidas contra sus derechos.

En el ámbito civil, la Ley 1/2000, de Enjuiciamiento Civil, en su artículo 732 establece la posibilidad de realizar diligencias de comprobación de las posibles infracciones sin  audiencia previa del demandado, medida de protección que ya venía establecida por la Ley 16/1993. Este tipo de acción, además, se completa con las demás medidas cautelares y de protección establecidas en el Real Decreto Legislativo 1/1996.

En el ámbito penal, la persecución de los delitos contra la propiedad intelectual tipificados  en sus artículos 270 y siguientes se instrumenta a través del Procedimiento Abreviado; mereciendo la pena resaltar la posibilidad de ejercitar registros domiciliarios sin previa audiencia del denunciado, a través del mandamiento de entrada y registro, regulado por sus artículos 546 y 785. Además, según la Ley 38/2002, de Reforma Parcial  de la Ley de Enjuiciamiento Criminal, se introduce la posibilidad de que los mandamientos de entrada y registro antes indicados puedan ser llevados a cabo sin necesidad de denuncia previa de los titulares de derechos, cuestión que facilita y agiliza la persecución de las infracciones contra los derechos de propiedad intelectual en sede penal.

Consecuencias legales para las empresas

En virtud de la normativa sobre protección legal del software en España, el uso, reproducción, distribución, exportación y almacenamiento de  programas de ordenador sin contar con la respectiva autorización del  titular, genera responsabilidades civiles y penales, que pueden recaer tanto sobre las empresas -como personas jurídicas-, como sobre sus administradores o representantes -como personas individuales- (penal y civilmente).
Debido a que los programas de ordenador por su naturaleza permiten una fácil eliminación de registros y evidencias digitales, la normativa procesal dispone mecanismos que permiten realizar diligencias de comprobación de las posibles infracciones sin audiencia previa del demandado –inaudita altera parte-, lo cual permite una mayor posibilidad de obtención de condenas penales y civiles por la comisión de este tipos de delitos.

En ese sentido, se observa que es el propio administrador o representante de las empresas quien es susceptible de soportar, de forma más gravosa, las consecuencias legales derivadas de la comisión de delitos informáticos. También se extenderá la responsabilidad a todos aquellos trabajadores de la empresa que participaron en la comisión del hecho delictivo.


RIESGOS LEGALES DEL USO DE SOFTWARE SIN LICENCIA EN LAS EMPRESAS

Una buena gestión de las licencias de software supone importantes beneficios para las compañías.

Uno de los principales beneficios es la eliminación de los riesgos legales. A este respecto, hay que tener en cuenta que el uso de software ilegal constituye una infracción de los derechos reconocidos en la Ley de Propiedad Intelectual (TRLPI); por cuanto la instalación de licencias sin la correspondiente concesión de derechos, supone un acto de reproducción ilegal contrario al art. 18 TRLPI.

De esta forma, la sola instalación de software sin licencia puede suponer:

(i) Solicitud de Medidas Cautelares. Arts. 138 y 141 TRLPI. Estas medidas son una anticipación cautelar de los efectos de la eventual sentencia, de manera que se garantice la efectividad de la misma en su momento. Entre las medidas cautelares debemos destacar: precinto de los ordenadores en los que se haya instalado software ilegal, embargo de cuentas bancarias para cubrir las responsabilidades, retención de la contabilidad, etc.

(ii) Acciones civiles. Suponen la persecución de la infracción y la restauración del daño ocasionado por la misma. Entre las actuaciones propias de esta vía civil encontramos:

1º. Evitar que el condenado por infracción de derechos continúe su actividad en un futuro (art. 139 LPI):
- Suspensión de la explotación infractora.
- Prohibición al infractor  de reanudar la actividad.
- Retirada del establecimiento de los ejemplares ilícitos y su destrucción .
- Inutilización y, en caso necesario, destrucción de los modelos, y demás elementos destinados exclusivamente a la reproducción de ejemplares ilícitos y de los instrumentos cuyo único uso sea facilitar la supresión o neutralización -no autorizadas- de cualquier dispositivo técnico utilizado para proteger un programa de ordenador.
- La remoción o el precinto de los aparatos utilizados en la comunicación pública no autorizada.

2º. Indemnización: obtención de una compensación económica por los daños y perjuicios causados (140 LPI). Esta indemnización podrá suponer: el beneficio que hubiere obtenido presumiblemente o la remuneración que hubiere percibido de haber sido autorizada la explotación. Y, junto a cualquiera de las dos anteriores, el daño moral.

(iii) Acciones Penales. Si se dan determinadas circunstancias, la infracción de los derechos de autor puede ser considerada como un ilícito penal; en cuyo caso, puede dar lugar no sólo a la condena a la indemnización correspondiente; sino también a una posible condena a pena privativa de libertad, así como la inhabilitación para el ejercicio del comercio.

(iv) Infracción fiscal. Del mismo modo, se considera que la instalación de software ilegal es un caso de fraude fiscal, por aplicación de la normativa reguladora del IVA. Se entiende que la instalación ilegal de software sin licencia sustituye fraudulentamente a la correspondiente compra de software legal, sujeta al pago del IVA.

Todos estos riesgos se pueden evitar por medio de la instalación de software legal que, además, reporta importantes beneficios (acceso a actualizaciones, disminución de riesgos de intrusión e infección, mejor funcionalidad y rendimiento). Es interesante la implantación de Políticas de Gestión de Activos de Software (SAM, Software Asset Management) que permiten un mejor control de las licencias y ahorros significativos al permitir realizar compras y renovaciones de licencias ajustadas a las necesidades de la empresa.


REFLEXIÓN FINAL

Lo hasta aquí expuesto tiene un carácter evidentemente genérico y descriptivo. No obstante, cabe intentar un esfuerzo interpretativo realizado con la finalidad de fortalecer la seguridad jurídica en la materia.

Efectivamente uno de los aspectos problemáticos que contribuye a crear confusión es el de la distinción entre lo que constituya responsabilidad civil o penal.

Con la finalidad apuntada propondríamos, como razonable y objetivo, que el punto de partida fuera el contrato de licencia que liga al usuario legítimo con el fabricante o proveedor de los programas de ordenador.

A nuestros efectos podríamos definir el contrato de licencia como el contrato por virtud del cual el titular de los derechos de explotación de un software facilita a un tercero el uso legítimo del mismo a cambio de una contraprestación de contenido económico y bajo las condiciones recogidas en el propio contrato que, en cualquier caso, han de respetar los principios de orden público de la contratación vigentes en un ordenamiento jurídico dado.

Situados en esta perspectiva cabría defender que caso de existir licencia, las desviaciones de su correcto desarrollo deberían solventarse ante los tribunales civiles. Ahora bien, si se parte ab initio de una situación de ausencia de licencia, debería estar abierta la puerta para la exigencia de responsabilidad penal.

Por otra parte, las empresas no pueden desconocer la evolución del derecho contemporáneo que abre las puertas al sometimiento a responsabilidad penal directamente a las personas jurídicas. En palabras del profesor de Utrech John Vervaele con ocasión de analizar la experiencia abierta en Holanda afirmaba: "Se ha optado por la realidad social en una sociedad industrial y post-industrial moderna, que parte del principio de que las personas jurídicas ocupan, en el seno de los cambios socio-económicos, un lugar absolutamente fundamental: en esta condición, tienen derechos y deberes que incluyen una responsabilidad penal." [Estudios de Derecho Judicial, 115-2007, CGPJ pág. 16, Madrid]

Finalmente, y se le dé la denominación que se le dé, en cuanto una pena es un mal forzosamente impuesto por los poderes públicos, la publicación de una sentencia condenatoria -con el desprestigio que conlleva-, o el cierre temporal o definitivo de una actividad no deja de ser un riesgo al que se ve expuesto una empresa que no respete el actual marco legislativo en relación con el empleo de programas de ordenador.

Responsabilidad del administrador de un Blog

A.- CLASES DE RESPONSABILIDAD
Atendiendo a la naturaleza de la legislación afectada, la responsabilidad podrá ser civil, penal y/o administrativa.
Por otra parte, la inmediatez  de la vinculación de la conducta respecto del prestador de servicios nos permitirá distinguir entre responsabilidad directa y subsidiaria.

B.- RESPONSABILIDAD CIVIL
La responsabilidad en que incurre el actor tendrá carácter contractual o extracontractual, dependiendo de que las obligaciones infringidas deriven o no de la existencia de un contrato que vincule a las partes.

Además, la persona a quien se achaque el hecho generador podrá ser responsable en virtud de actos propios o de actos de tercero.

Debemos tener en cuenta que todo contratante responde del incumplimiento de sus obligaciones, siendo mayor o menor su responsabilidad en función de la intervención del dolo en su actuación. De verificarse su existencia, el actor responderá de todos los daños que conocidamente se deriven del incumplimiento.

El caso especial de responsabilidad de los daños ocasionados por terceros se produce en los supuestos concretos en que existan vinculaciones tales como que los hechos se hayan cometido por los hijos o por los empleados.

C.- RESPONSABILIDAD PENAL
Este tipo de responsabilidad se contrae puede contraer por dolo o por imprudencia; y en este caso, siempre dentro de los supuestos previstos por la Ley.
En cualquier caso, es siempre de carácter personal (toda persona responde de sus propios actos).

La evolución legislativa de nuestro Código Penal ha conducido a incluir dentro de la consideración de “sujeto responsable” de un delito también a la persona jurídica.
Ahora bien, es preciso señalar que en este último caso existen dos supuestos:
1.- La responsabildad de las personas que obren en su nombre, a quienes se pueden atribuir la comisión de determinados delitos aún cuando no reúnan todos los requisitos exigidos por el artículo concreto que es de aplicación, pero sí vinculados a la actuación de esa persona jurídica.
2.- La responsabilidad estrictamente directa de la sociedad frente al principio tradicional que decía que las sociedades no puden cosiderarse autoras de un delito. En este caso, la pena puede ser desde una multa hasta el cierre de la sociedad.

Con el ejercicio de la acción penal se puede siempre ejercitar la acción civil correspondiente, lo que implica que, aún cuando no sea achacable la infracción penal al prestador de servicios, sí le puedrá alcanzar la responsabilidad civil subsidiaria  en un proceso penal en el que el acusado fuera un tercero (es decir, un usuario del Foro o del Blog).

Los supuestos específicos típicos de infracción penal que puede alcanzar al responsable de un Foro o Blog son:
la infracción de derechos de propiedad intelectual o industrial
la lesión del derecho al honor (injurias y calumnias)

La infracción de derechos de propiedad intelectual o industrial, se pueden a su vez cometer de dos maneras: bien de forma directa, por una violación de esos derechos cometida por el administrador; bien de forma indirecta, por el recurso a links u otros medios de acceso a otras páginas.

D.- RESPONSABILIDAD ADMINISTRATIVA
Este tipo de responsabilidad se genera por el incumplimiento de los deberes legales existentes en la calidad de “administrado”.

En la actualidad han cobrado especial relevancia y protagonismo la legislación sobre protección de datos personales, la reguladores de los servicios de la información.

Existe una tendencia en el Derecho Europeo a extender la responsabilidad en materia de protección de datos de carácter personal al propio usuario de un Foro o Blog en protección de terceros (no participantes en el medio) cuyos datos pueden verse incorporados por los usuarios, especialmente si los afectados son menores de edad.

E.- DEFENSA
El Responsable de un Foro o Blog tiene diferentes medios de defensa frente a las posibles responsabilidades que debe asumir:

1.- En primer lugar, las acciones que corresponden a cualquier ciudadano tanto de carácter como civil.
2.- En segundo lugar, las cláusulas limitativas de la responsabilidad; si bien, en la práctica pueden resultar más o menos discutibles. En estas cláusulas Se el responsable del Foro o Blog advierte que no se hace responsable de las informaciones vertidas en el mismo. El problema se genera porque esta advertencia se lleva a cabo frente al usuario del Foro o Blog, pero no vincularía al tercero afectado. En consecuencia, estaríamos dentro del ámbito de la responsabilidad subsidiaria del administrador.

F.- PROBLEMA DE LA EQUIPARACIÓN AL EDITOR
Al responsable de un Foro o Blog se le ha querido equiparar al editor de prensa en determinados aspectos, singularmente me refiero a la “responsabilidad en cascada” que prevé el Código Penal. Ello conlleva que, si no es conocido el autor material de una información dañosa, por vía civil subsidiaria alcanzará a la persona responsable del medio en que se haya vertido la información.

Esta equiparación perece excesiva e impropia, por lo que en la práctica resulta contestada.

G.- DILIGENCIA DEBIDA
La diligencia debida es un parámetro que permitirá valorar  la responsabilidad del administrador del Foro o Blog,  en función de que se haya observado o no respecto de la conducta objeto de discusión.

A este respecto, hay que tener presente que la legislación exige expresamente que se conozca la información incorporada en el espacio web. Pero, ¿cuándo se entendería producido ese conocimiento? El hito fundamental lo establece el hecho de que la Autoridad competente manifieste al Responsable que la información en cuestión es ilícita. Quedan excluidos de este criterio, naturalmente, los casos de connivencia o acuerdo entre el prestador de servicios y los usuarios.

A pesar de lo descrito, hay que poner de relieve que actualmente existe la tendencia a anticipar esa diligencia debida.

H.- CONCLUSION
Como conclusión voy a exponer unos bullet points que, de alguna forma, resumen lo expuesto hasta este momento:
Al prestador de servicios le alcanza la responsabilidad civil, penal y administrativa.
Aunque la posición jurídica no sea equiparable al editor de prensa, siempre debe actuar con la debida diligencia.
La debida diligencia exige la exclusión del Foro o Blog de toda información dañosa desde el mismo momento en que tome conocimiento de su carácter de ilícita
No es equiparable “información adversa o crítica” con “información antijurídica”, puesto que frente a ella también intervienen los derechos fundamentales a la libertad de expresión y de información.
No es exigible al responsable de un Foro o Blog un profundo conocimiento del derecho para discernir en cada ocasión lo ilícito de lo ilícito, ni una atención permanente respecto de lo colgado en la red. Deberá ser suficiente con una actuación de buena fe y diligente desde el momento del efectivo conocimiento de la infracción.
Es posible (y conveniente) expresar con nitidez las normas por las que se rige el Foro o Blog
En definitiva, la mejor defensa será aquella de carácter preventivo; y se traduce en una actuación ordenada y diligente, y en el cumplimiento de la normativa vigente en materia de protección de datos y sociedad de la información.