Análisis de los aspectos legales de OSS (version 2017)

UPV Universitat Politècnica de València
30 de marzo 2017
Open Source Software
Análisis de los aspectos
legales y su aplicación
práctica en el mercado IT

The information contained in this document is proprietary and confidential.
Copyright© 2016 Capgemini. All rights reserved.
Marzo 2017
Cristina Yerro i Heras
Group Legal Dept.
Iwan van der Kleijn
iCSD - Team Lead devonfw

Mayo 2016
Group Legal Dept.
Iwan van der Kleijn
iCSD - Team Lead Devon fw
Análisis de los aspectos legales y su
aplicación práctica en el mercado IT

About:

¿Quién soy yo?

About:
Vision and Focus

The informationcontainedin this presentationis proprietary.© 2017 Capgemini.All rightsreserved.Rightshore® is a trademark belongingto Capgemini. 7
...creating multi-device
applications and multi-
platform (micro) services in
the Cloud or existing IT
infrastructures with the focus
on short time-to-market
and great user experience...
devonfw is targeted at

a series of Open Source & industry standard
frameworks, used to create stand-alone,
production-grade applications which can "just run",
but which are fundamentally modular in nature so
they can be effortlessly extended with external
components & libraries.
This is supported by a rich and highly automated
toolchain, standardized architecture blueprints and
industry proven best practices, patterns and code
conventions.
devonfw consists of ...

Changing role of Software Development
This is
where the
action is

devonfw - Technology stacks to choose from
Server
Client
CloudApp servers Microservices
development
runtime
Persistence

devonfw as part of your integration infrastructure (rather than hub or PaaS)
CRM
MBaaS
*) Report by Saugatuck Technology with Gartner
In a recent survey *) the
majority of respondents
cited integration issues in
the Cloud as a top
concern, second only to
data security and
privacy. It becomes
critical to avoid that
Enterprise data becomes
segregated into cloud
silos and to
guarantee that
applications will talk to
each other within the
cloud and between the
cloud and enterprise. A strong value proposition of devonfw is that it can help solve these connectivity issues.
Not by being a single monolithic integration hub with a single point of failure, but rather
by being part of the standard infrastructure of a company, providing the "glue" between
all of the components within the Enterprise ecosystem without “turning into a PaaS”.

devonfw CoreTeam
Copyright © Capgemini 2016. All Rights Reserved
1220161020_Devon_Overview_for_Engineers+Architects

devonfw projects
Currently there are over35
devonfw projects underway in
Germany, Poland, Spain, Italy,
France, The Netherlands and
India for clients like Daimler,
Siemens, Vodafone, and
German, French, Dutch and
Spanish governments/public
organisations
Devonfw is being rolled out in all 13 countries of Capgemini APPSTWO

Esta presentación se hizo junto con
Capgemini Group Legal Dept.
que es una verdadera experta legal
I Am Not A Lawyer …..but…..

Índice
1. Introducción al OSS
2. El uso de OSS en el mercado
3. Riesgos jurídicos en el uso de OSS
4. Preguntas

Introducción al OSS

1. ¿Por qué hablar del OSS?
4000+
vulnerabilidades open source
reportadas cada año
98%
de las compañías utilizan open
source code sin saberlo
“Hasta 2016, Open Source Software
esta incluído en aplicaciones críticas
en el 99% de las compañías
Global 2000.”
Miles
de vulnerabilidades open
source en amplios portfolios de
app
No hay visibilidad
del uso de open source &
riesgos/impacto
30%+
del código base deriva de open
source
Más de 130,000
vulnerabilitdades
registradas en la BBDD
de un proveedor de
servicios OSS

¿VERDADERO O FALSO?
 Todos los Software Open Source (OSS) son material de
dominio público : no es propiedad de nadie
 OSS otorga garantías sobre los derechos de propiedad
intelectual
 No hay términos contractuales en las licencias de productos
OSS
Utilizar OSS no implica riesgos de infracciones de derechos
de propiedad intelectual
 Los derechos de propiedad intelectual adjuntos a un OSS no
son obligatorios y por tanto, no hay riesgo de una reclamación
legal
 FALSO ! 
 FALSO ! 
FALSO ! 
FALSO ! 
 FALSO ! 
1. Introducción al Open Source Software (OSS)

1. Introducción al OSS
OSS está protegido por las leyes de propiedad intelectual
Cuando descargas o usas componentes OSS, estás firmando un
contrato con el autor y por tanto, tienes que cumplir las
obligaciones impuestas en la licencia
Derechos: uso libre, normalmente no hay coste de licencias,
acceso al código fuente, distribución del sw y de los trabajos
derivados – pero NO es una renuncia de copyright!
Principales obligaciones:
• entregar el código fuente del componente OSS
• entregar los términos de la licencia
• no cambiar las declaraciones de autoría ni las exclusiones de garantía
• registrar cualquier cambio en el código fuente (incluyendo fecha nombre
del empleado/compañía)
Definición: Open Source Software (OSS) software cuyo código
fuente es accesible para ser utilizado, modificado o mejorado por
cualquier persona

Open Source & Free Software
• Hay una diferencia en filosofía entre
“Open Source” y “Free Software”
representados por la Open Source
Initiative (OSI) y Free Software
Foundation (FSF), respectivamente
• En la práctica, todas las licencias reconocidas por la OSI
pueden ser consideradas como licencias de código
abierto válidos y con toda probabilidad serán
considerados como tales en los procesos judiciales
• Ver: https://opensource.org/about

Licencias con Copyleft estricto: Trabajos derivados del software
original solamente se pueden distribuir bajo la misma licencia -
“efecto viral“.
El mero link a este software puede ser entendido como “obra
derivada” – los programas de link i.e. desarrollos, tienen que estar
sujetos a la misma licencia.
Ejemplos: GPL, EPL, CPL, AGPL
1. Tipos de Licencias de OSS
Licencias sin Copyleft: no contiene obligaciones para la
distribución de las modificaciones o trabajos derivados, por lo que
también se puede distribuir como licencia propietaria.
Ejemplos: Apache, BSD, MIT
Licencias con Copyleft Limitado: requiere la distribución de las
modificaciones de OSS bajo la licencia original en algunos casos,
pero un link a componentes licenciados diferentes sin cambios en
el software es normalmente posible.
Ejemplos: LGPL, CDDL, MPL

Ejemplo: plantilla Licencia BSD
Copyright © [YEAR] [COPYRIGHT OWNER]. All Rights Reserved.
Redistribution and use in source and binary forms, with or without modification, are permitted
provided that the following conditions are met:
1. Redistributions of source code must retain the above copyright notice, this list of
conditions and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright notice, this list of
conditions and the following disclaimer in the documentation and/or other materials provided
with the distribution.
3. The name of the author may not be used to endorse or promote products derived from this
software without specific prior written permission.
THIS SOFTWARE IS PROVIDED BY [LICENSOR] "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES,
INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A
PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT,
INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

2. El uso de OSS en el mercado

Utilización de OSS en el mercado

Crecimiento de utilización de OSS

Adopción en empresas

Elección de OSS en proyectos comerciales

OSS en el mercado

OSS hoy en día

¿Por qué ? el crecimiento y dominación de OSS?

Historia de OSS
• En las décadas de 1950 y 1960 casi todo el software fue producido por
académicos e investigadores corporativos que trabajan en colaboración, a
menudo compartida como software de dominio público
• Software se distribuye en general bajo los principios de apertura y
cooperación que están comunes en el mundo “academia”, y no fue visto
como un producto en sí mismo
• A finales de 1970 y principios de 1980 , los empresas de productos
informática comenzó de forma rutinaria a cobrar por licencias de software
y la imposición de restricciones legales sobre nuevos desarrollos de
software, que ahora se ve como activos, a través de los derechos de autor
• En 1983 , Richard Stallman publicó el Manifiesto GNU y
puso en marcha el Proyecto GNU
• El sistema operativo Linux, iniciado por Linus Torvalds,
fue lanzado en febrero de 1992 bajo la “Licencia Pública
General” de GNU (General Public License – GPL)

La cultura de Academia e OSS

Mitos y prejuicios sobre OSS
• La calidad de OSS es mejor / menor
de software comercial
• OSS es más / menos seguro
• OSS es para usuarios de Linux
• Las grandes empresas evitan uso de
OSS
• OSS es gratis / más caro
• El mundillo de OSS es anárquico y
caótico

Porque utilizar OSS
• Seguridad
• Calidad
• Personalización
• Libertad
• Independencia (de
un único proveedor)
• Flexibilidad
• Interoperabilidad
• “Auditabilidad“ &
Transparencia
• Opciones de
asistencia
• Costes
• “Probar antes de
comprar”
• Innovación

Survey: The Future of OSS 2016

devonfw - OSS como moto de desarrollo

Las tecnologías y prácticas de OSS adoptados por las
empresas

Participación en proyectos OSS

¿Por qué? Participar en OSS

No sea un consumidor. ¡Participación!

Falta de gobernación
• 50 % de las empresas no tienen una
política formal para la selección y
aprobación de código fuente abierto
• Casi el 50 % de las empresas que tienen
políticas no hacen cumplir las reglas
• 1/3 de las empresas no tienen ningún
proceso para identificar conocidas
vulnerabilidades en el código abierto

Necesidades: gobernación
• La falta de gobernabilidad efectiva de
código abierto expone a las
organizaciones a riesgos legales y
comerciales
• Para evitar estos riesgos organizaciones
deben desarrollar políticas y establecer
programas de gobierno para hacer cumplir
estas políticas

Ejemplo falta de gobernación: seguridad y
licencias

Necesidades: gobernación
• Es necesario para obtener
soluciones para “escanear”
productos con objetivo de
determinar los licencias de
componentes OSS y si no hay
ninguna vulnerabilidades de
seguridad
• La naturaleza de OSS hace
este tipo de servicios posibles!
• No es fácil o posible con el
software “cerrado”/comercial
pero es igualmente necesario

Riesgos jurídicos en el uso de OSS

SOFTWARE OSS SOFTWARE DE PROPIEDAD
La licencia de uso del software se entrega
GRATUITAMENTE (normalmente)
Licenciado
POR UN PRECIO
El código fuente es
PÚBLICO
Sólo se distribuye en
CÓDIGO OBJETO
La asistencia técnica es
GRATUITA Y SIN SLA (normalmente)
Asistencia Técnica
Prestada por UN PRECIO, CON O SIN SLA
NO HAY GARANTÍAS
que cubran los defectos o adaptabilidad
para un propósito concreto
NO hay GARANTÍA que cubran los defectos o
adaptabilidad para un propósito concreto
EXCEPTO SI SE NEGOCIA
No existe protección contra
INFRACCIONES DE DERECHOS DE
PROPIEDAD INTELECTUAL (excepto las
legales)
Existe protección contra INFRACCIONES DE
DERECHOS DE PROPIEDAD INTELECTUAL
negociadas (y las legales)
Igual que cualquier licencia de propiedad,
Estamos obligados legalmente por los términos de la licencia OSS
3. Riesgos jurídicos en el uso de OSS

3. Compatibilibilidad y Contrato con el cliente
Different es licencias OS no tienen que ser siempre compatibles
enter sí o con licencias propietarias (por ejemplo con Copyleft
efecto) así que es necesario revisar su compatibilidad
Proceso de verificación de licencias:
• ¿Uso externo o interno?
– Externo:
- Revisar contrato con el cliente
- Identificar el número de OSS y el tipo:
- Sin-copyleft
- Limitado copyleft
- Stricto copyleft
- Más de 1 OSS: proceso de compatibilidad
- Registro/Inventario

Compatibilidad y contrato con el cliente
GPL v2 GPL v3
LGPL
v2.1
LGPL v3
Apache
2.0
MIT
License
3-clause
BSD
License
CPL/EPL MS-PL
GPL v2        
GPL v3        
LGPL v2.1       
LGPL v3       
Apache 2.0       
MIT License       

Si no cumplimos con los términos de la licencia
OSS, pones a la empresa Y a sus Clientes en
importantes RIESGOS
Responsabilidad penal
Responsabilidad civil contractual
Responsabilidad civil extracontractual
Consecuencias jurídicas por infracciones

Responsabilidad
extracontractual /
Responsabilidad
civil
DE LOS CLIENTES DE TERCERAS PARTESDE LOS AUTORES DE OSS
Infracciones de
derechos de autor
(resp. legal/
responsabilidad penal)
Incumplimiento
Contractual
(No hay limitación
de daños por
infracciones de IP)
Infracciones de
licencias OSS
(resp. contractual /
responsabilidad civil)
Indemnizaciones
por reclamaciones
de terceros
(Normalmente
sin límite)
3. RIESGOS LEGALES … para el Proveedor
The information contained in this document is proprietary and confidential. It is for Capgemini internal purposes only. Do not circulate.
© 2009 All rights reserved by Cap Gemini SA

Responsabilidad
extracontractual
(Responsabilidad
Civil)
CLIENTE
TERCEROSAUTORES OSS
Infracciones de
derechos de autor
(Resp. legal &
Responsabilidad penal)
Incumplimiento de
Licencia OSS
(Resp. contractual
& responsabilidad civil)
3. RIESGOS LEGALES… para los clientes
The information contained in this document is proprietary and confidential. It is for Capgemini internal purposes only. Do not circulate.
© 2009 All rights reserved by Cap Gemini SA
Responsabilidad
extracontractual

3. Consecuencias jurídicas por infracciones
Civiles: Ley de Propiedad Intelectual
• Cese actividad ilícita: suspensión explotación, prohibición de reanudarla,
retirada de ejemplares ilícitos y su destrucción (excepto los adquiridos de buena
fe para uso personal), inutilización y destrucción de moldes, negativos…,
precinto de aparatos para impedir la comunicación.
• Indemnización daños y perjuicios: a elección del perjudicado:
– Beneficio obtenido presumiblemente sin utilización ilícita
– Remuneración que hubiera percibido de haber autorizado la explotación
– Gastos investigación
– Daño moral: sin necesidad de perjuicio económico
• Instar la publicación de la resolución a costa del demandado
•Plazo: 5 años desde que el perjudicado pudo ejercitarla
• Medidas cautelares: intervención y depósito de ingresos; suspensión actividad;
secuestro ejemplares; embargo equipos, aparatos y materiales.
• Medidas cautelares y suspensión servicios a los intermediarios

3. Consecuencias jurídicas por infracciones
Penales: Código Penal (art. 270 a 272 CP)
• Reproducción, plagio, distribución, transformación o comunicación pública, total o
parcial, con ánimo de lucro y en perjuicio de tercero, sin autorización del autor
• Quien importe, exporte o almacene ejemplares sin autorización
• Quien fabrique, ponga en circulación y tenga cualquier medio específicamente
destinado a facilitar la supresión no autorizada o la neutralización de cualquier
dispositivo técnico que se haya utilizado para proteger programas de ordenador
• Pena:
– Prisión de 6 meses a 2 años y multa de 12 a 24 meses
– Prisión de 1 a 4 años y multa de 12 a 24 meses e inhabilitación especial para
el ejercicio de la profesión durante un periodo de 2 a 5 años si:
- El beneficio obtenido es de especial trascendencia
- El daño causado es de especial gravedad
- El culpable perteneciere a una organización o asociación con finalidad infractora
- Utilización de menores de 18 años para cometer el delito
• Posibilidad de publicación de la sentencia condenatoria a costa del condenado,
en un periódico oficial
• Posibilidad de extender la responsabilidad civil deriva de estos delitos relativas
al cese de la actividad ilícita y a la indemnización de daños y perjuicios

3. Ejemplos de procesos judiciales
US:
• Jackobsend v. Katxer, 2008: incumplimiento de los términos de la licencia
OSS implica un incumplimiento de contrato e infraccion de derechos de autor.
Acuedo $100K
• Software Freedom Conservancy v. Best Buy, 2010: Busybox software
bajo GPL demandó 14 compañías (Samsung, JVC...) por elu so de su OSS
en los dispositivos electrónicos. Acuerdo confidencial con 13 compañías pero
con 1 se condenó a $90K como daños punitivos y costas procesales y
abogadso $47K
UK: Free Software Foundation Europe v. Home Hub: Una compañía de
telecomunicaciones que vendió el dispositivo BT Home Hub utilizando OSS
basado en un sistema operativo system (under GPL v2) sin distribuir el
código fuente. BT cambió su política y faciilitó el código fuente.
France: Free, 2008: Un operador de telecomunicaciones usó 2 componentes
OSS sin publicar el código fuente al distribuirlo (GNU/GPL). Los
desarrolladores pidieron 1€ por cada distribución de Freebox. Acuerdo
confidencial. Free actualiaó sus ToU informiando a los clientes y facilitand la
lista de los OSS utilizados

4. Preguntas

¡¡¡ Gracias !!!

• Black Duck & North Bridge Survey 2015 & 2016:
The Future of Open Source
http://www.northbridge.com/2015-future-open-source-survey-results
https://www.blackducksoftware.com/2016-future-of-open-source
Referencias

Análisis de los aspectos legales de OSS (version 2017)

Recomendados

Recomendados

Más contenido relacionado

Destacado

Destacado (12)

Similar a Análisis de los aspectos legales de OSS (version 2017)

Similar a Análisis de los aspectos legales de OSS (version 2017) (20)

Último

Último (13)

Análisis de los aspectos legales de OSS (version 2017)