Por qué a nadie le gustan las auditorías legales de software

auditoria legal de software, licencias, regularizacion, sanciones, saas, licencia por uso.
Nov21Fácil: porque a ninguna empresa le gusta reconocer que hay cosas que está haciendo mal. El problema no es reconocerlo, el problema es que te pillen en una inspección de licencias de software como a algún cliente nuestro y ya sea demasiado tarde.

Por :NO{legaltech}
// Son 1110 palabras. Esto se lee en, nah, 5 minutos, 33 segundos.

Que no fue el caso, porque conseguimos negociar y evitar males mayores, pero si de verdad quieres evitar problemas con tus licencias de software, léete este artículo. Si al final no es más que una revisión de los bajos al sistema, como una ITV necesaria para saber que todo está bien. ¿Por qué tanto pánico?

Las empresas son cada vez más conscientes de que el uso de software ilegal tiene más inconvenientes que ventajas, aunque sigue siendo una práctica extendida cuando hay varios equipos que demandan el mismo software y ya has pagado alguna licencia que otra. Si has pagado una pasta por una, pero necesitas tres, compartir es vivir. Pero ya lo decían nuestras madres, que se pilla antes a un mentiroso que a un cojo, y por eso las grandes distribuidoras de software recurren a estrategias para pillar a los infractores. Y si te pillan, ahí la has cagado.

Dejando de lado nuestra defensa del software libre, de que se cumpla la legalidad vigente, de la Mínima Legalidad Viable y demás, y por supuesto sin juzgar a nadie que cada uno tiene bastante con gestionar su santa empresa. Seamos realistas: ¿qué posibilidades hay de que las grandes propietarias del software se enteren? Que curiosamente es una pregunta habitual cuando salen estos temas. Más de las que piensas. No sólo porque tienen acceso en muchos casos a los equipos y a los registros, sino porque te mandan una carta y amablemente te solicitan que te sometas a una auditoría voluntaria "para comprobar que todo está en orden".


Por ejemplo, Pepita Palotes compra cuatro licencias de AUTOPLAF para su empresa, porque se dedican al diseño de espacios industriales en el sector agroalimentario. Las compra porque ha leído que las multas ascienden a una millonada y ahora que el negocio le va bien, y tiene ingresos suficientes, prefiere prevenir e invertir en software legal. Pero Pepita tiene siete empleados, cada uno con su equipo correspondiente, y sólo tiene dinero para cuatro licencias de AUTOPLAF. ¿Qué hace Pepita? Se las ingenia para instalar las licencias en varios equipos, compartiendo los programas y pensando que lo que hace está bien. Que no. Lo que Pepita hace es un poco menos peor en la escala de BAD THINGS que tener software ilegal, pero igualmente malo: Pepita hace un abuso de derecho de los términos de la licencia, en la creencia de que los dueños de AUTOPLAF nunca lo sabrán. 


Pero AUTOPLAF es una multinacional, implantada en medio mundo, que cada año saca nuevas estrategias para pillar a todas las Pepitas del mundo haciendo el mal, y además forma parte de una alianza con otras multinacionales, que envían una carta para que la empresa de Pepita Palotes pase una auditoría voluntaria. Sin consecuencias, nada grave, sólo para conocer si los productos de AUTOPLAF se ajustan a las necesidades de Pepita y si se puede mejorar la oferta para pagar menos. Claro, es una simple auditoría y Pepita piensa además que si les dice que no, será sospechoso. Y ella ha pagado las licencias. ¿Qué es lo peor que puede pasar? 


Pepita, ojo porque esto es lo peor que puede pasar: 


- que AUTOPLAF cuente el número de equipos de empleados (7) y el número de licencias individuales que se han pagado (4) y saque sus propias conclusiones sobre el uso compartido de los programas, aunque probablemente ya cuentan con esa información antes de enviarte la maldita carta.


- que en el barrido que hagan en los equipos, AUTOPLAF detecte los datos de instalación de sus programas con anterioridad y compruebe que esos programas, ya probablemente desinstalados (o simplemente sin uso), no tenían una licencia válida y te hagan pagar por ellos.


-  que además AUTOPLAF se quede con información sobre las instalaciones y desinstalaciones, y de una auditoría voluntaria pase a una reclamación por infracción de sus derechos de propiedad intelectual, que además disfraza como “regularización de licencias”, “nueva suscripción” o con algún nombre bonito y confuso.

 

AUTOPLAF le dice a Pepita Palotes que son 50.000 euros por haber sido una empresa mala. Y Pepita se queja porque ella ha pagado por licencias de uso redimiendo todos sus pecados e infracciones anteriores, porque no entiende el cálculo de la cifra, y porque le dan un plazo de 30 días antes de tomar medidas legales contra la empresa. Pepita, ¿qué has hecho?


¿Tenemos algo que decir sobre estas cosas? Tenemos algo que decir sobre estas cosas. Primero, que todas las empresas con un número considerable de licencias deberían plantearse elaborar un protocolo de actuación para estas cuestiones. Algo así como Ammana en el mundo laboral, pero para el escenario tecnológico. Mucho compliance penal, mucha prevención de riesgos laborales, y a los equipos y programas que forman los activos informáticos de la empresa que les den por saco. Segundo, que siempre que exista una auditoría externa, que se vaya a realizar por terceros ajenos a la empresa, lo consulten con su departamento legal: el abogado de la empresa, el de la asesoría, los de compliance… Alguien con criterio legal que pueda, junto con los responsables de IT, limitar el alcance de la auditoría y valorar los riesgos derivados de sus actuaciones. Tercero, mantén un inventario actualizado de las licencias de software, de las redes, de los equipos y del estado en que se encuentran, no solo porque te facilita tener una visión global de esos activos sino porque a efectos de una auditoría (voluntaria o sorpresa) te hará ser más rápido a la hora de facilitar la información solicitada, y contrastarla con las conclusiones a las que lleguen esos terceros. Cuarto, si no estás de acuerdo con la propuesta de regularización o con el resultado de la auditoría, acude a un auditor independiente. Y quinto, asigna la supervisión de toda la movida a una única persona, que será la persona de contacto para AUTOPLAF, el abogado de la empresa, el de fuera de la empresa, el auditor independiente y todo aquel que esté en el ajo, para que no se pierda información por el camino y este dolor pase de la forma más rápida posible.

Recuerda que lo mejor es ser legal y cumplidor, pero si no se puede, intenta al menos hacer un control de daños para minimizar el riesgo, y si te toca, la sanción. Be compliant, my friend!


Publicado el 21 de noviembre de 2019