Una de las cuestiones que más debe preocupar a la dirección de las sociedades mercantiles es la protección de sus secretos empresariales. Saber que los mismos están custodiados de forma segura, evitando intromisiones ilegítimas, es una cuestión medular para el presente y futuro de la compañía.
Y si se quiere cuidar la protección de secretos empresariales, una de las opciones más efectivas es desarrollar una línea específica dentro del programa de compliance.
Marco legal sobre secretos empresariales
Hasta fechas muy recientes la única regulación sobre protección de secretos empresariales con la que contábamos en España era fundamentalmente los tipos penales contenidos en los artículos 278 y 279 del Código Penal. Estos recogen, respectivamente, los delitos de espionaje industrial y la violación de secretos empresariales respectivamente.
El vacío existente en el ámbito civil y mercantil se llenaba con disposiciones contractuales. Su objetivo era establecer definiciones, acotando el ámbito de lo que debía considerarse secreto empresarial.
Por ejemplo, antes de iniciar relaciones laborales o comerciales con determinadas personas, muchas compañías introducen contratos de due diligence o acuerdos o compromisos de confidencialidad y no divulgación N.D.A. (non disclosure agreement) que establecen un marco convencional sobre el tratamiento de información secreta y consecuencias, actuaciones e indemnizaciones en caso de filtraciones. Las vulneraciones de estos contratos (sin perjuicio de responsabilidades penales) se dirimían en el ámbito civil a través de acciones de responsabilidad contractual.
Esta situación de laguna jurídica ha sido resuelta al proceder el legislador a trasponer la Directiva comunitaria 2016/943 del Parlamento Europeo y del Consejo de 8 de junio, mediante la Ley 1/2019 de Secretos Empresariales . En esta norma se definen los requisitos para que una información deba ser legalmente considerada como secreto empresarial.
Requisitos de los secretos empresariales
Para que cierta información se considere como secreto empresarial debe cumplir, al menos, los siguientes requisitos:
- Que no sea de conocimiento general dentro de la empresa ni de aquellas que suelan utilizar este tipo de información. Es decir, que resulte de difícil acceso.
- Tener un importante valor para la empresa, real actual o potencial.
- Que sea objeto de medidas de protección y confidencialidad por parte de su titular.
Esta información secreta no ha de confundirse con datos de carácter personal que tienen su propio ámbito de protección en la Ley Orgánica 3/2018 y el RGPD, ni con la información correspondiente a patentes y propiedad industrial que se encuentre registrada y de acceso general.
El secreto empresarial será aquello que la empresa considera como tal y lo dota de un grado de confidencialidad, reserva y protección, máximo. Se trata de procesos, técnicas, investigaciones en I+D, prototipos, planes de producción, estrategias societarias, decisiones de inversión, lo referente a su know how.
La característica común a todo ello ha de ser el otorgamiento de una ventaja competitiva y su correlativa protección y secretismo.
¿Cómo nos puede ayudar el compliance?
Los activos inmateriales, que deben ser preservados con absoluta discreción, en algunos casos requieren implementación de políticas o programas de medidas que protejan su acceso.
Ello nos lleva a la necesidad de hacer uso de un sistema de compliance. Y es que los programas de cumplimiento normativo pueden destinar un apartado específico a esta materia.
Funcionamiento del modelo de compliance
La figura del compliance officer procederá al análisis, al diagnóstico, a proponer de planes y protocolos de actuación para la implementación de medidas de protección, elaboración de programas de prevención y actuación.
Análisis y diagnóstico
Lo primero que deberá hacer será identificar aquellos datos e información deba ser considerada como secreta y reservada. Será preciso realizar una auditoría interna para verificar qué datos merecen ser secretos y una vez identificados, categorizar los mismos en grupos o grados.
Identificada la información confidencial habrá que determinar cuántas personas tienen acceso a la misma. Entre ellas, se deberá analizar cuántas deben tener realmente dicho acceso para desarrollar su labor.
También es preciso conocer las medidas físicas, técnicas, informáticas y legales que hay para su protección.
Propuesta y preparación de programas
Realizado el análisis el compliance officer elabora un informe para la dirección de la compañía recomendando acciones específicas para mejorar la seguridad en estos aspectos. Estos planes detallarán:
- Cuáles deben ser las medidas de seguridad a adoptar. Dicha propuesta de medidas debe ir acompañada del coste contable de las mismas.
- Si no las hay, proponer la creación de un puestos específicos que se encarguen de la gestión de la información.
- Itinerarios formativos para los empleados y directivos de la compañía. Abordarán el tratamiento de la información reservada a la que tengan acceso por razón de su cargo y posición, fomentando así las buenas prácticas preventivas.
- Protocolos de actuación en caso de brechas de seguridad.
Fases de implementación y control
El compliance officer supervisará que las medidas aprobadas se lleven a efecto. Una vez implementadas, su tarea será de vigilancia, seguimiento y control de las mismas. Además, deberá realizar evaluaciones periódicas sobre el grado de cumplimiento de su función.
Medidas legales de garantía de los secretos empresariales
Como complemento a las medidas técnicas e informáticas de restricción de acceso y protección de secretos, están los mecanismos legales de protección y persecución a los responsables de las brechas de seguridad.
En este sentido, se suelen fomentar los acuerdos y cláusulas individuales de confidencialidad con las personas encargadas del tratamiento. También es común la adopción de un Código Ético y de conducta sobre buen comportamiento y Corporate Defense. Los propios empleados deben suscribir estos compromisos, evitándose que puedan manifestar su desconocimiento.
En las casos más severos se pueden fijar cláusulas específicas de confidencialidad. Esto es frecuente en el contrato de alta dirección, donde el directivo manifiesta ser consciente del acceso a información de carácter secreto.
Si todas estas herramientas no han logrado prevenir la vulneración de los secretos de la compañía, la propia Ley 1/2019 fija en su artículo 9 una serie de acciones específicas. Su objetivo es la cesación de la conducta que haya atacado ese secreto empresarial, y las acciones para restituir el daño causado:
- Declaración de la violación del secreto empresarial.
- Cesación o prohibición de los actos de violación del secreto empresarial.
- Prohibición de fabricación, ofrecimiento, comercialización o utilización de mercancías infractoras.
- Aprehensión de tales mercancías.
- Remoción de documentos, objetos, materiales, sustancias y otros soportes.
- Atribución en propiedad de los anteriores efectos.
- Indemnización de daños y perjuicios.
- Publicación o difusión de la sentencia.