La idea de esta serie de artículos es de partir de una ley reciente o que trata de temas que la actualidad ha puesto en los focos mediáticos, describir rápidamente los principales impactos de la ley en relación con estos temas y luego dar recomendaciones sobre como cumplir esta ley con herramientas digitales.

Empezamos esta serie de artículos con la Parte 1: El consejo de Administración. Este primer artículo trataba de la definición de las nuevas obligaciones y responsabilidades de los consejos introducidas por la ley 31/2014.

En esta segunda parte vamos a analizar la ley 1/2019 de “protección de Secretos empresariales”.

Yann Sabot – Adherido de ASCOM

Director General

DiliTrust Ibérica

Parte 2: Los secretos empresariales

La información es el nuevo oro. Contar con datos claves en el momento oportuno puede marcar la diferencia en una transacción o negociación. Estos activos intangibles conforman buena parte del valor de las empresas, entre 50% y 80% del total, y cada vez adquieren mayor preponderancia. Es casi una obviedad decir que estos datos deben protegerse. Hasta hace poco, la protección de información clave estaba regida por las buenas prácticas, no existía uniformidad o parámetros legales precisos.

En el contexto del Covid19, la protección de secretos empresariales cobra aún más relevancia, por tres motivos:

  • el primero, la brutal digitalización que se ha producido en los últimos tres meses. El teletrabajo se ha convertido en la nueva norma, tanto es así que no solo las tecnológicas lo están manteniendo hasta fin de año, sino que empresas como Endesa, Naturgy, y los principales despachos de abogados también están aplicando esta política.
  • El segundo es el crecimiento de los riesgos de ciberseguridad: se han puesto de moda los secuestros de información a cambio de rescate, de lo cual no hay salida que sea beneficiosa, la única opción real es la prevención.
  • El tercero, es el impulso a la innovación biotecnológica, y con ello, el crecimiento del espionaje industrial.

El artículo 228 b) del texto refundido de la Ley de Sociedades de capital (LSC) 1/2010 establece que los administradores de las sociedades tienen el deber de “Guardar secreto sobre las informaciones, datos, informes o antecedentes a los que hayan tenido acceso en el desempeño de su cargo, incluso cuando haya cesado en él, salvo en los casos en que la ley lo permita o requiera”.

Con la entrada en vigor de la Ley de Protección de Secretos Empresariales en marzo de 2019 [https://www.boe.es/buscar/pdf/2019/BOE-A-2019-2364-consolidado.pdf], se establecieron precisiones sobre las obligaciones que alcanzan a Consejeros, Directores Legales y otros directivos, pues son ellos los encargados de constituir esos secretos y tomar acciones para resguardarlos, empleando para ello los medios técnicos y legales que sean adecuados valorando las características de la entidad, el tipo de información, así como su uso y tratamiento.

Ley 1/2019, de 20 de febrero, de Secretos Empresariales.

Ley 1/2019 de Secretos Empresariales, que traspone la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, tiene por objeto “garantizar que la competitividad, que se sustenta en el saber hacer y en información empresarial no divulgada, esté protegida de manera adecuada, y mejorar las condiciones y el marco para el desarrollo y la explotación de la innovación y la transferencia de conocimientos en el mercado”. 

3 CLAVES PARA COMPRENDER EL IMPACTO DE LA LSE

Definición del secreto empresarial.

Se considera secreto empresarial cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero, que sea secreto, es decir, que no sea generalmente conocido o fácilmente accesible; que tenga un valor empresarial, sea real o potencial; y que haya sido objeto de medidas razonables por parte de su titular para resguardarlo.

Violación del Secreto Empresarial. Excepciones.

VIOLACIÓN:

La protección del secreto se establece frente a usos o divulgaciones de información realizadas por personas a las que hemos dado acceso a la misma y que tenían obligación de guardar secreto, pero también frente al espionaje industrial, es decir, frente al acceso, apropiación o copia no autorizadas por parte de terceros.

También cuando la persona que obtuvo, utilizó o reveló los secretos, supo o debió saber que obtenía el secreto directa o indirectamente de quien lo utilizaba o revelaba de forma ilícita.

EXCEPCIONES:

Las excepciones son sólo 4 y se limitan al descubrimiento o creación independiente; observación, estudio, desmontaje o ensayo del producto puesto a disposición del público sin que exista obligación de confidencialidad o en contrario que prohíba la ingeniería inversa; derechos de trabajadores y sus representantes; actuaciones conformes a prácticas comerciales leales, como los casos de transmisión, establecidos en la ley.

TRANSMISIÓN PERMITIDA:

El secreto empresarial, como bien patrimonial, es susceptible de transmisión, cesión y licencia en los casos definidos por la ley. Sin embargo, quien transmita a título oneroso un secreto empresarial u otorgue una licencia responde contra terceros, salvo pacto en contrario y sin que medie mala fe, si no contaba con las facultades para ello.

Acciones legales. Indemnización.

DEFENSA DEL SECRETO EMPRESARIAL

Entre las acciones civiles, se establece

– La declaración de la violación del secreto empresarial.

– La cesación o, en su caso, la prohibición de los actos de violación del secreto empresarial, incluyendo la prohibición de fabricación, comercialización o utilización

– La remoción, que comprende la entrega al demandante de la totalidad o parte de los documentos, objetos, materiales, sustancias, ficheros electrónicos y cualesquiera otros

– soportes que contengan el secreto empresarial, y en su caso su destrucción total o parcial.

– La indemnización de los daños y perjuicios, si ha intervenido dolo o culpa del infractor

– La publicación o difusión completa o parcial de la sentencia, preservando la confidencialidad del secreto empresarial

Todo ello a expensas del infractor.

MEDIDAS CAUTELARES

La acción civil de defensa permite la adopción de medidas de aseguramiento de la prueba, la toma de medidas cautelares incluyendo el cese y la prohibición de utilización y revelación, y el embargo preventivo de bienes para el aseguramiento de la indemnización por daños y perjuicios.

INDEMNIZACIÓN

Los daños y perjuicios se calculan contemplando perjuicios económicos, incluido el lucro cesante del titular, el enriquecimiento injusto obtenido por el infractor, el perjuicio moral causado al titular, los gastos de investigación en los que se haya incurrido para obtener pruebas razonables de la comisión de la infracción. En el cálculo se tiene en cuenta la disposición del art. 73 de la Ley de Patentes. Alternativamente se podrá fijar una cantidad en concepto de indemnización de daños y perjuicios, contemplando como mínimo el importe que la parte demandada habría tenido que pagar al titular del secreto empresarial por la concesión lícita de una licencia.

Protección de los Secretos Empresariales Digitales

7 pasos para la protección de Secretos Empresariales Digitales

  • Identifique los secretos empresariales
  • Márquelos como “confidenciales” con marca de agua. Puede haber varios niveles de confidencialidad.
  • Identifique las posiciones clave en los procesos vinculados a secretos empresariales y los tipos de secretos de los que pueden tener conocimiento
  • Controle el acceso a los secretos
  • Implemente acuerdos de confidencialidad con las personas que gestionen información confidencial
  • Imparta formaciones sobre cómo tratar adecuadamente los secretos empresariales para mantenerlos a salvo
  • Establezca un proceso en caso de pérdida, filtración o robo para actuar rápidamente

IDENTIFICACIÓN

Una vez identificada la información que constituye un Secreto Empresarial según la definición del artículo 1 de la ley, se deben identificar que posiciones tienen acceso a esta información y dónde se encuentra almacenada. Se desalienta el uso de dispositivos USB. Y si fuese necesario contar con versiones en papel, se deben triturar antes de desechar. La identificación implica también “marcar” la documentación, en el nombre y con marca de agua.

LOCALIZACIÓN

ALMACENAMIENTO SEGURO y CONFORME

Siguiendo buenas prácticas de SGSI, los secretos empresariales deben almacenarse de manera separada en herramientas seguras, que limiten el acceso controlado únicamente a aquellas personas que deben conocer esta información. Solo las herramientas certificadas en ISO 27001 pueden cumplir este requisito. Adicionalmente deben cumplir RGPD, redundancia y disponibilidad.

TRANSMISIÓN SEGURA

Las herramientas deben garantizar la transmisión segura. El algoritmo de cifrado AES 256 continúa siendo el estándar en esta área. Para el almacenamiento de las claves de cifrado se recomiendan los sistemas HSM con proveedores que ofrezcan el uso de claves propias si fuese necesario.

CONTROL DE ACCESO

Las herramientas deben permitir acceso únicamente por invitación, con los estándares habituales como contraseña segura, autenticación de doble factor, niveles de usuarios, granularidad en los permisos de acceso, desde el acceso de sólo visualización a impresión o descarga con marca de agua. Los permisos permiten “invisibilizar” los directorios, con lo cual se minimizan los riegos.

PROCESOS

ACUERDOS DE CONFIDENCIALIDAD

La firma de estos acuerdos debe formar parte del proceso de incorporación a la entidad. También con los socios de negocios. Estos acuerdos deben establecer las obligaciones y deben incluir la formación para conocer cómo se debe tratar la información y que medidas se deben tomar para protegerlos. Adicionalmente se recomienda configurar la aceptación de un código de ética o prácticas al utilizar las herramientas.

PROCESOS EN CASO DE PÉRDIDA, FILTRACIÓN O ROBO

Cuando esto sucede se deben desactivar los accesos a las herramientas, y eliminar de forma remota la información contenida en dispositivos móviles. Los accesos a las herramientas también deben desactivarse una vez terminada la relación con la empresa, y se deben reintegrar los dispositivos.

GARANTÍAS LEGALES

La conformidad con las normas europeas ofrece garantía de cumplimiento y de protección de la información. Los fabricantes europeos son los que ofrecen mejores garantías de cumplimiento. Asimismo se puede exigir una garantía de confidencialidad por contrato.

Valeria Otero – Adherido de ASCOM

Especialista en digitalización segura

DiliTrust Ibérica