Fundación Python transmite preocupaciones sobre próximas regulaciones de ciberseguridad en Europa

Las propuestas legislativas de la UE podrían afectar a las organizaciones y desarrolladores de software de código abierto

Los autores de componentes de código abierto podrían ser responsables legal y financieramente

La Fundación Python (PSF) ha expresado su preocupación acerca de que las leyes de ciberseguridad propuestas por la Unión Europea puedan dejar a las organizaciones y personas dedicadas al software de código abierto injustamente responsables de la distribución de código incorrecto.

«Si la ley propuesta se aplica tal como está escrita, los autores de componentes de código abierto podrían tener responsabilidad legal y financiera por cómo se utilizan sus componentes en productos comerciales ajenos», afirmó la PSF en un comunicado compartido el martes por su directora ejecutiva, Deb Nicholson. La PSF señala que el lenguaje actual no distingue entre autores independientes que nunca han sido pagados por el suministro de software y gigantes tecnológicos corporativos que venden productos a cambio de pagos de los usuarios finales.

El año pasado, los legisladores europeos presentaron dos proyectos de ley para abordar la seguridad y responsabilidad del software. Desde entonces, la comunidad técnica ha expresado su oposición a las normas redactadas de manera amplia.

La Ley de Ciberresiliencia y la Ley de Responsabilidad del Producto

La Ley de Ciberresiliencia (CRA) busca promover la seguridad de los productos digitales al exigir que los fabricantes revisen la seguridad del producto, implementen procedimientos de mitigación de vulnerabilidades y divulguen información de seguridad a los clientes. El período de comentarios públicos cerró en noviembre, y el período de consulta pública para la ley concluye el 25 de mayo.

Las multas máximas bajo esta ley pueden llegar a los 15 millones de euros o hasta el 2,5% de la facturación anual, lo que sea mayor. La CRA aún no ha sido adoptada por el Parlamento Europeo y el Consejo.

La Ley de Responsabilidad del Producto actualiza las normas de responsabilidad del producto en Europa, incluyendo, entre otras cosas, cambios en el producto digital derivados de actualizaciones de software. Permite a los consumidores buscar indemnizaciones si resultan perjudicados por productos que se vuelven inseguros debido a revisiones de software.

La PSF y otras organizaciones, como la Fundación Eclipse y NLnet Labs, instan a los legisladores de la UE a aclarar el lenguaje amplio en la legislación propuesta para que las organizaciones y desarrolladores de código abierto no sean responsables de los defectos en productos comerciales que incorporen su código.

«Bajo el lenguaje actual, la PSF podría ser potencialmente responsable financieramente por cualquier producto que incluya código Python, sin haber recibido ningún beneficio económico de ninguno de estos productos», afirmó la PSF, agregando que tal riesgo haría imposible que la fundación continúe proporcionando Python y PyPI (el Índice de Paquetes Python) en Europa.

La responsabilidad de los desarrolladores de código abierto podría desalentar las contribuciones

La organización sin fines de lucro, que supervisa y defiende el lenguaje de programación Python a nivel mundial, argumenta que hacer que los desarrolladores de código abierto sean responsables de sus contribuciones de código podría desalentar a los contribuyentes de proyectos de código abierto. La PSF cita dos pasajes en particular como excesivamente amplios.

El primero es el Artículo 16, que dice: «Una persona natural o jurídica, distinta del fabricante, el importador o el distribuidor, que realice una modificación sustancial del producto con elementos digitales, se considerará fabricante a los efectos de este Reglamento.»

Esa definición podría interpretarse como que cualquier persona que realice un cambio sustantivo en un proyecto de código abierto sería responsable de las consecuencias de ese cambio.

El segundo pasaje exime al «software libre y de código abierto desarrollado o suministrado fuera del curso de una actividad comercial», pero define la «actividad comercial» como «proporcionar una plataforma de software a través de la cual el fabricante monetiza otros servicios», una definición que podría aplicarse a organizaciones como la PSF que ofrecen cualquier tipo de productos o servicios pagados, como camisetas, entradas para eventos o clases de programación.

La PSF argumenta que los legisladores de la UE deberían proporcionar exenciones claras para repositorios públicos de software que sirven al bien público y para organizaciones y desarrolladores que alojan paquetes en repositorios públicos.