Auditorias de Sistemas Grupo N°2 Responsabilidades y garantías La responsabilidad contractual según el contrato: De obra: se llama localización de obra al contrato en virtud del cual una de las partes se compromete a realizar una obra que la otra va a pagar por esa obra un precio de dinero. En este tipo de contratos el proveedor asume la responsabilidad de llevar adelante una obra, o prestar un servicio; por su parte el cliente se compromete a aceptar la obra de parte del proveedor y pagar un precio por ello. Mantenimiento: la corrección de los errores correspondientes a la etapa de instalación e implementación, aun cuando se prolonguen a lo largo de un plazo muy extenso, no deben confundirse con las tareas de mantenimiento del sistema. Es muy común y una práctica muy difundida que los contratos de provisión y/o desarrollo de paquee de software contengan cláusulas sobre el mantenimiento del sistema por un precio igual al de la garantía de funcionamiento del mismo. En general, el proveedor del software debería incluir el costo y la duración del mantenimiento en l pecio de la licencia del software. De período de garantía: una garantía es una obligación del proveedor para con el comprador con el objeto de responder ante dificultades con l producto adquirido. En un contrato informático, el usuario puede exigir garantías al proveedor en tres aspectos: -Garantía de indemnidad ante reclamos de terceros: el proveedor debe garantizar al usuario indemne ante todo reclamo que pueda formularle terceras personas. -Garantía de acceso al código fuente: si el usuario lo solicitara, el proveedor (siempre que sea el autor del software provisto) debe garantizar al usuario el libre acceso al código fuente, previa notificación de las consecuencias de las notificaciones a realizar. -Garantía de compatibilidad: el proveedor se obliga a asegurar la compatibilidad de los elementos que provee, tanto entre ellos mismos como aquellos con los que habrá que integrarse en el futuro. Plazo de garantía: se define como el período por el cual el proveedor asegura el correcto funcionamiento del software o hardware cedido al cliente. El marco legal indica como razonable un plazo de garantía de diez años; la práctica demuestra que en la informática estos tiempos no son aplicables. Debe tenerse en cuenta que en ciertos contratos el mantenimiento del hardware y/o el software esta comprendido dentro del plazo de garantía. Por profesional: la responsabilidad profesional se halla sometida a los mismos principios que la responsabilidad en general. Ante un problema el profesional tiene el deber de dar respuesta. En las situaciones donde el profesional obra de mala manera, el mismo incurre en la falta a los deberes especiales, que la profesión impone y requiere, por lo tanto, de los mismos elementos comunes a cualquier responsabilidad civil. Cuando el profesional incurre en la omisión de las diligencias correspondiente a la naturaleza de su prestación, ya sea por impericia, imprudencia, o negligencia, falta a su obligación y se coloca en la posición del deudor culpable. -1- Auditorias de Sistemas Grupo N°2 La condición profesional implica un especial deber de obrar con prudencia y conocer los detalles de las cosas. Mayor es la responsabilidad cuando mayor sea el deber de obrar con prudencia y el conocimiento de las cosas. Se coinciden notas descriptivas de la profesionalidad las siguientes: - Habitualidad: ejercicio efectivo de la actividad - Pertenencia a un área de saber científico, técnico o práctico - Reglamentación de la actividad por el Estado - Habilitación por el Estado - Autonomía técnica, propia del saber especializado - Sujeción a normas éticas - Sometimiento a un régimen disciplinario - Colegiación en un órgano que lleva la matrícula Por idóneo: se considera idóneo a la persona que sin ser profesional, desempeña una tarea o brinda un servicio en base al conocimiento obtenido de la experiencia y la habitualidad. La aplicación de conceptos y a forma de encarar un trabajo no siempre tienen un basamento científico. Al no tratarse de un profesional, el idóneo no responde a las principales características de la profesionalidad, citadas anteriormente. En caso de establecerse un contrato entre un idóneo y un cliente, se deberán establecer explícitamente las responsabilidades que les corresponde a cada uno. Por trabajador en relación de dependencia: el empleador encarga la realización de un trabajo, el cual será encarado por un empleado de la empresa. La responsabilidad ante las consecuencias de dicho trabajo corren por cuenta y orden del empleador, así como la titularidad del proyecto o desarrollo llevado adelante. La incompatibilidad: se da cuando un auditor está trabajando para un egresa dedicada a una cierta actividad, y aparece una segunda empresa, que desarrolla la misma actividad; solicitando los servicios de auditoria. En caso que el auditor acepte el trabajo, tiene a responsabilidad de poner sobre aviso a dichas empresas. La exclusividad. Nuevas versiones de un producto: la competencia en el desarrollo de software (y en algunos casos en la producción de hardware), sumadas a los cambios de índole legal impositiva y/o tecnológica, hacen que frecuentemente aparezca nuevas versiones de productos. La principal finalidad de una nueva versión es que un mismo producto continúe funcionando eficaz y eficientemente en el mercado. El mayor interés de usuario es asegurarse el acceso a las nuevas versiones a un costo previsible; es por eso que en un contrato informático deberá establecerse la obligación por parte el proveedor de suministrar al usuario las nuevas versiones o desarrollo de software cuando estén disponibles. La tarea de determinación de la responsabilidad: Obligaciones: el origen de las responsabilidades en un contrato está dado por las obligaciones asumidas por ambas partes tales obligaciones pueden resumirse de la siguiente manera: -Obligaciones del proveedor: informar, asesorar, aconsejar, cumplir con la prestación. -2- Auditorias de Sistemas Grupo N°2 -Obligaciones del cliente: evaluar sus necesidades y tomar una dedición, adaptar las estructuras de su empresa, de pagar el precio, colaborar con el proveedor, respeta las instrucciones del proveedor, informar e informarse. Responsabilidad: implica el deber de reparar o de satisfacer una prestación a favor de la victima de una infracción. Responsabilidad contractual: ocurre cuando hay un deber preexistente que es específico y determinado tanto en relación al objeto como al sujeto obligado. Esta responsabilidad abarca el incumplimiento de las obligaciones conocidas de un contrato, es decir aquellas que están descriptas en las cláusulas. Responsabilidad en el contrato de auditoria externa: la responsabilidad del auditor externo debe basarse sobre las normas de procedimientos y principios de la profesión dictadas por los entes que tienen poder de policía sobre la actividad del profesional. Las responsabilidades originadas en la auditoria externa son contractuales mientras que el deber del auditor de responder frente a terceros por el mal desempeño de su cometido es extracontractual. - Sea que en el contrato de auditoria se considere contrato de localización de obra o de localización de servicios, deberán incluirse todas aquellas cláusulas adicionales que tengan el fin de reflejar situaciones futuras, teniendo en cuenta que los casos no contemplados deberán resolverse en forma no contractual. - Si bien es cierto que el profesional que audita se compromete a actuar con honestidad y buena fe, el mismo no garantiza inviabilidad, por lo que solo deberá responder cuando mediare negligencia, dolo mala f o deshonestidad en el cumplimiento de su cometido. Es por ello que deberá existir una cláusula sobre los alcances del trabajo de auditoria y el tipo de informe elaborado. Consideraciones acerca de las responsabilidades en los contratos informáticos: - Existe un cierto desequilibrio entre proveedores y clientes fundados en que, salvo excepciones, existe un desfasaje en la información técnica que disponen unos y para otros, mucho más actualizada para los primeros que para los segundos. - Se da una cierta incertidumbre en el marco de operaciones más complejas en cuanto a la extensión de las obligaciones contractuales y las fechas de terminación real de los trabajos que repercuten directamente sobre las responsabilidades, los plazos y los costos. - Si el plazo de la obra es extenso, se genera un gran número de compromisos recíprocos que pueden generar litigios en conde es difícil decidir la suerte del o los contratos en consideración. Responsabilidad derivada de la actividad informática: La responsabilidad en el desarrollo de la actividad informática se refiere: -En el caso de desarrollo de software a medida: al cumplimiento de las exigencias impuestas por el mandatario en cuanto a la finalidad del software instalado -En la venta del software enlatado: En la configuración eventual adaptación del mismo según las necesidades. -3- Auditorias de Sistemas Grupo N°2 -En la venta de hardware: a la instalación y mantenimiento que garanticen un correcto funcionamiento. Algoritmos de protección de software propio o “bombas logísticas”: es un programa en un sistema con propósitos no dolosos para que funcione en caso que no se cumpla determinadas condiciones, por ejemplo, que la parte usuaria deje de pagar los costos de licencia e intente vulnerar restricciones estipuladas contractualmente. Además son utilizadas para no permitir la copia ilegal del software. Muchas veces se asocia a este tipo de programas con los virus informáticos. La diferencia con los virus radica en que no son autos reproductores y dependen de los usuarios para ser ejecutados. Negligencia y dolo: la falta de cumplimiento con lo que se estima que una persona razonable cuidadosa habría de efectuar en determinada ocasión, sin que existiera intención de engañar a tercero se denomina negligencia. Cuando esta intención existe, hablamos de dolo, lo cual es importante diferenciar porque implica un delito (la responsabilidad se extiende hacia terceros), mientras que la primera sería un cuasidelito (el auditor debe responder por los daños que ocasione a su cliente). Responsabilidad del uso del software ilegal: Software pirata: Aquellas personas que bajen software de Internet, serán responsables de este, tanto en la cuestión legal como en los daños que pueda llegar a causar al software o equipo de cómputo. ¿Cuáles son las sanciones? Toda persona -natural o jurídica, de derecho público o privado- que utilice software sin la licencia respectiva enfrenta sanciones administrativas y penales, más los daños y perjuicios civiles. Las sanciones civiles incluyen la destrucción y remoción de las copias ilícitamente obtenidas y de los aparatos utilizados para la reproducción, la obligación de resarcir los daños materiales y morales ocasionados y la imposición de multas, lo que se traduce en altas sumas de dinero. En cuanto a las penas, toda persona que -sin autorización de los titulares- produce, reproduce, introduce al país, almacena, vende, arrenda o distribuye en forma dolosa copias no autorizadas de software (completas o parciales), tiene la posibilidad de ser penado con sanciones penales de 6 meses hasta 6 años de prisión y hasta 3000 días de salario mínimo o sanciones administrativas de 5000 a 10.000 días de salario mínimo (que se puede aumentar hasta 20.000 más días si también se encuentra una infracción marcaría), independiente de cualquier otra sanción monetaria, como la derivada por evasión tributaria. ¿Cuáles son sus obligaciones como usuario de Software? La principal obligación como usuario de programas de computación, es adquirir software original y legal para usted y para su empresa. Al adquirir software, debe asegurarse que cada programa esté acompañado de una licencia de uso. Este documento es el que autoriza legalmente la utilización del software. La licencia debe especificar el número de usuarios que actualmente utilizan software dentro de la empresa. Si usted no recibe una licencia de uso al adquirir su software, ha sido víctima de la piratería de software; el producto que obtuvo es ilegal. -4- Auditorias de Sistemas Grupo N°2 En la mayor parte de los procesos legales iniciados por detección de uso de software ilegal la empresa delega la responsabilidad en el responsable de sistemas. Cuando este caso se produce lo único que puede eximir de culpa a este profesional es demostrar que puso el caso en conocimiento de la Dirección General cuando fue detectado. Es conveniente: realizar controles periódicos en cada computadora para asegurarse de que no se han instalado programas de software ilegales por descuido o en forma deliberada. realizar un inventario al menos una vez al año, tal como se hace con otros activos valiosos de la empresa. cuando un empleado deje la empresa, asegúrese de que los programas de software con los que trabajaba permanezcan en su lugar y no se lleve copias consigo. -5-