por Sergio Montoro Ten, 21 noviembre 05

Introducción

El 12 de marzo de 1928 la presa de St. Francis se rompió sesgando 500 vidas. Aunque el informe pericial concluyó que el desastre se había debido a una falla tectónica desconocida en el momento de su construcción, el suceso se llevó por delante la reputación del diseñador William Mulholland y se dictaminó que el gobierno americano era responsable civil subsidiario de los daños. Mulholland no tuvo que afrontar cargos personales pero fue retirado sine die de la ingeniería civil.

Debido a la ubicuidad del software, la probabilidad de desastres causados por defectos de programación aumenta cada día: desde la medicina hasta la energía nuclear, pasando por todo tipo de aplicaciones, es imposible encontrar sistemas que no utilicen software de misión crítica.

Sobre el asociacionismo profesional

Creo que es posible afirmar, sin temor a equivocarse, que ninguna otra profesión ha ido tan lejos como los informáticos en la renuncia voluntaria a sus derechos.
La informática nació en un momento en el cual los gremios andaban ya de capa caída. Desde el principio se despreció, con cierta dosis de arrogancia, el asociacionismo.
Hubo un tiempo en que otro gremio, el de los pilotos, poseía un poder absoluto sobre las aeronaves. De ellos dependía totalmente la vida los tripulantes.
Estos pilotos, sin embargo, se percataron de que su poder como colectivo se reduciría debido a los avances técnicos y a la masificación de la formación para pilotar.
Y hoy en día todavía persisten asociaciones sindicales que ejercen una fuerte presión sobre las compañías aéreas en favor de los intereses exclusivos de los pilotos.
En base a esta pequeña exposición, podemos establecer que despreciar, a priori, el poder de negociación que un colectivo otorga a los intereses de un individuo sólo es propio de quién es demasiado engreído o demasiado necio como para creer que jamás necesitará la ayuda de nadie.

Ahora bien, ¿sobre qué aspectos legales y laborales debería ejercerse una mayor presión?

Aquí los dividiremos en cuatro grupos:

• Responsabilidad civil derivada de errores informáticos
• Cualificación profesional requerida a los informáticos en ejercicio
• Responsabilidad derivada de la custodia de información confidencial
• Responsabilidad derivada de la violación de patentes y leyes de propiedad intelectual

Sobre la responsabilidad citada en el Código Civil

Para sentar las bases de lo que estamos hablando, citaré algunos artículos del Código Civil Español :

Art. 1.101
Quedan sujetos a la indemnización de los daños y perjuicios causados los que en el cumplimiento de sus obligaciones incurrieren en dolo, negligencia o morosidad, y los que de cualquier modo contravinieren al tenor de aquellas.

Art. 1.484
El vendedor estará obligado al saneamiento por los defectos ocultos que tuviere la cosa vendida, si la hacen impropia para el uso a que se la destina, o si disminuyen de tal modo este uso que,
de haberlos conocido el comprador, no la habría adquirido o habría dado menos precio por ella; pero no será responsable de los defectos manifiestos o que estuvieren a la vista, ni tampoco de los que no lo estén, si el comprador es un perito que, por razón de su oficio o profesión, debía fácilmente conocerlos.

Art. 1.485
El vendedor responde al comprador del saneamiento por los vicios o defectos ocultos de la cosa vendida, aunque los ignorase.
Esta disposición no regirá cuando se haya estipulado lo contrario, y el vendedor ignorara los vicios o defectos ocultos de lo vendido.

Art. 1.486
En los casos de los dos artículos anteriores, el comprador podrá optar entre desistir del contrato, abonándosele los gastos que pagó, o rebajar una cantidad proporcional del precio, a juicio de peritos.
Si el vendedor conocía los vicios o defectos ocultos de la cosa vendida y no los manifestó al comprador, tendrá éste la misma opción y además se le indemnizará de los daños y perjuicios, si optare por la rescisión.

Art. 1.902
El que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado.

Art. 1.903
La obligación que impone el artículo anterior es exigible, no sólo por los actos u omisiones propios, sino por los de aquellas personas de quienes se debe responder. […] Lo son igualmente los dueños o directores de un establecimiento o empresa respecto de los perjuicios causados por sus dependientes en el servicio de los ramos en que los tuvieran empleados, o con ocasión de sus funciones.

Art. 1.904
El que paga el daño causado por sus dependientes puede repetir de éstos lo que hubiese satisfecho.

Sobre los artículos 1.902-1.904, es necesario puntualizar lo que se entiende por culpa o negligencia que consiste en la omisión de aquellas diligencias que exigiere la naturaleza de la obligación.

Sobre la necesidad de regular los servicios profesionales para garantizar la calidad

Hay que tener en cuenta que las leyes de comercio están hechas, en general, teniendo en mente sobre todo la protección del consumidor antes que la protección del vendedor.
Los artículos 1.484 y 1.485 establecen claramente que, salvo estipulación explícita en contra, los fabricantes de software son responsables de subsanar los defectos y que el cliente podría llegar a no pagar ni un céntimo por el producto comprado en el caso de que un defecto fuese lo bastante grave como para provocar una parada del sistema.
Según el artículo 1.485, incluso aunque se estipule que el programador no será responsable de los bugs, si los conocía en el momento de vender el producto y no se los comunicó al comprador en el acto, sería igualmente responsable de repararlos.
Aunque la ley limita implícitamente la responsabilidad al precio pagado por el producto, es conveniente aclarar este punto en los contratos de desarrollo porque los clientes
tienden a pensar que la responsabilidad del desarrollador se extiende a todos los daños causados por el programa defectuoso.
Esto último sólo sería aplicable en el caso de culpa o negligencia previsto por el artículo 1.902. Pero, ¿cómo declarar negligente a alguien que desconoce el oficio?
Si una persona sin la debida formación y/o experiencia realiza un programa y este programa falla debido a su desconocimiento en el arte de programar no sería culpable de negligencia pues desconocía las consecuencias potenciales de sus actos.
Lo mismo que un farmacéutico no puede prescribir un medicamento porque no es responsable como un médico de los efectos de su administración, un no-informático no puede ser responsable de los daños causados por un programa.
Por consiguiente, la regulación legal de quien puede ejercer la profesión de informático (o no) no va necesariamente en contra de los intereses del consumidor sino que puede actuar en su favor.
No se trata de crear colegios profesionales que inflen los precios creando artificiosas imperfecciones de mercado, sino de estandarizar procedimientos de calidad que empiecen por la cualificación de los recursos humanos empleados.
Este razonamiento está muy bien ilustrado en las declaraciones de Howard Schmidt en Secure London 2005 acerca de la responsabilidad civil de los programadores. De nada sirve afirmar, como hace Bruce Schneier, que las compañías de software deberían responsabilizarse de sus errores si no disponen del procedimiento y la madurez adecuada para ello.

Sobre el marco europeo de servicios profesionales

Para agravar el problema de la garantía de calidad en la mano de obra, a principios de 2003 el informe Regulation of Professional Services in the EU encargado por la Comisión Europea al Instituto de Estudios Avanzados de Viena concluyó que la desregulación de los servicios profesionales podría traer consigo un incremento de la riqueza en los países sin perjuicio para los consumidores.
Aunque el informe indica que la ingeniería es el sector menos regulado de los estudiados, el Comisario Europeo de Competencia, Mario Monti, encendió la llama de la desregulación generalizada sin consideraciones previas sobre las diferencias entre distintas profesiones.
La realidad es que actualmente las Empresas de Trabajo Temporal y de body shopping están siendo utilizadas para subvertir el mercado de trabajo convirtiendo los contratos laborales en mercantiles a través de la cesión de personal.

Sobre la integración en la enseñanza superior europea

A partir de 1999 se inició con la Declaración de Bolonia el proceso de integración del sistema universitario español en el espacio europeo de enseñanza superior. Sobre ese acuerdo, la Asociación de Ingenieros en Informática ha estado ejerciendo presión por la convalidación de los títulos y la capacidad representativa de los colegios profesionales

Sobre las aseguradoras

En última instancia los riesgos del software defectuoso deberían estar cubiertos por la industria aseguradora.

No todos los riesgos son trasladables al Asegurador, y ni siquiera este último está dispuesto a asumir todos ellos.
Algunos, ni siquiera pueden ser asegurados, como la responsabilidad penal, que es intransferible y personal (nadie puede ir a la cárcel por otro) Una póliza de seguro tampoco puede dar cabida a actos dolosos (aquellos daños causados intencionadamente).
La falta de normalización es un problema especialmente grave para asegurar desarrollos de software ya que en ausencia de métricas y estadísticas es imposible cuantificar el riesgo para establecer las cuantías de las pólizas. Las aseguradoras sólo pueden cubrir riesgos medianamente bien conocidos como el seguro de Lloyd’s específico para las demandas de patentes en el stack LAMP
Además de los seguros entre empresas cliente y proveedora, debido al artículo 1.904, los desarrolladores deberían tener un seguro de responsabilidad personal frente a errores, ya que la empresa para la que trabajan puede exigirles, prácticamente sin límite de cuantía la reparación de los daños por los que haya tenido que pagar.

Sobre la LSSI

La distribución de contenidos está regulada en España por la Ley de Servicios de la Sociedad de la Información que, muy acertadamente, exonera a los ISPs de la responsabilidad de los contenidos que alojan, medida que se intentó adoptar, sin éxito para combatir el intercambio de archivos P2P.

Sobre la LOPD

La privacidad de la información está contemplada en la Ley orgánica sobre Protección de Datos de Carácter Personal
Esta ley obliga al informático a tomar las siguientes medidas:

Art. 9.1
El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Art. 10
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Art. 19
Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.

Por consiguiente existe una responsabilidad adicional que no se refiere a los programas en si mismos sino a los datos que manejan. Un agujero de seguridad podría ocasionar una demanda no por el defectos software en si mismo sino por la fuga de datos confidenciales implicada. A diferencia del código civil, la LOPD no establece salvedades: es responsabilidad del informático tomar medidas frente a al robo de datos.
Sobre la LOPD, en algunos casos el cliente llega a exigir avales bancarios abusivos al proveedor para garantizarse la indemnización en caso de daños y perjuicios.

Sobre las licencias de software libre y privativo

Toda esta legislación en defensa del cliente contrasta significativamente con lo estipulado en las licencias y los contratos de prestación de servicios que eximen sistemáticamente al desarrollador de cualquier responsabilidad
En contra de lo que pretende difundir la industria del software privativo, las garantías que ofrece una licencia EULA son exactamente las mismas que una GPL, o sea: ninguna.
Los contratos de desarrollo a medida suelen ser un tira y afloja entre el proveedor y el cliente sobre la delimitación de responsabilidad pero deben, en todos los casos contener al menos las siguientes cláusulas:

• Exención de responsabilidad causada por daños y perjuicios.
• Limitación del periodo de tiempo en que el programador se compromete a subsanar gratuitamente los defectos.
• Determinación de la compatibilidad de la aplicación con el hardware y software base y con aplicaciones de terceros.
• Exención de responsabilidad frente a modificaciones realizadas por terceros.

Sobre el cobro de los trabajos realizados

En informática es habitual llegar al despacho de un cliente que tiene 5 propuestas como la tuya encima de la mesa. En los concursos públicos de todos los sectores es habitual que haya varias ofertas, e incluso ir de “convidado de piedra” a sabiendas. Pero en informática los clientes ya han cogido la [mala] costumbre de que los ante-proyectos no hay que pagarlos.

Por otra parte, no conozco a ningún empresario del ramo que no haya tenido en una o varias ocasiones problemas para cobrar un proyecto, y no por falta de solvencia del cliente sino por falta de voluntad.
El truco más habitual es coger las especificaciones iniciales del proyecto y pagar sólo por lo que se realizó que suele ser el 80% pero no pagar por todas las cosas que se hicieron sin estar en el proyecto porque el cliente descubrió su necesidad con posterioridad a la fecha de la firma del contrato.
En otros casos el impago es más flagrante y el cliente ofrece, directamente una quita sobre el precio inicial o nada, a sabiendas de que para la empresa consultora es muy poco conveniente embarcarse en una reclamación judicial por motivos de costes y prestigio. Existe, por supuesto, la posibilidad de pedir cantidades anticipadas a cuenta o de solicitar avales, ambas cosas que suelen resultar muy difíciles debido al escaso poder de negociación que suele tener el proveedor.

Sobre las patentes de software

Sobre las patentes ha habido una gran polémica en Europa, que se ha saldado por el momento, en la decisión de no aplicarlas al software debido a la clamorosa presión de prácticamente todos los colectivos informáticos excepto las asociaciones de empresas de software privativo.
Mark Shuttleworth resumió brillantemente la innecesariedad de las patentes de software durante su ponencia en Galicia TIC 2005: “Las patentes nacieron como una forma de contrato social entre los gremios y la sociedad. El gremio liberaba un conocimiento secreto para el bien público y, a cambio, obtenía una participación garantizada en el beneficio. Pero tal mecanismo no tiene sentido con el One Click Buy de Amazon porque para poder explotar dicho conocimiento hay que liberarlo necesariamente poniéndolo en la red”.
No entraremos en este artículo mayor discusión sobre las patentes ,que ha generado ríos de tinta, pero es posible leer el artículo para formarse una opinión sobre las patentes de software de González-Barahona.

Conclusiones finales

• Exigir que las leyes reconozcan los derechos de los profesionales como condición necesaria para el cumplimiento de sus obligaciones.
• Aceptar y fomentar el asociacionismo profesional como una actividad en beneficio de todos: informáticos y clientes; informando con transparencia y honestidad de los fines de las asociaciones.
• Armonizar las leyes civiles con las prácticas habituales en licencias de software, mediante una legislación más concreta y adecuada que delimite las obligaciones y responsabilidades del programador.
• Elaborar un sistemas de métricas, calidad y registro de proyectos que permita auditar, peritar y asegurar los proyectos de misión crítica.
• Decretar medidas contra el deterioro de la calidad y la perversión del sistema laboral debidas a la subcontratación de mano de obra mal pagada y peor cualificada.
• Potenciar la compatibilidad entre la propiedad intelectual y el conocimiento libre para que las patentes (u otras leyes de propiedad) no sean un obstáculo a la innovación.

Actualización: La Justicia aumenta la responsabilidad de las consultoras informáticas (Mercedes Serraller)