¿Cómo valora la aprobación de esta norma en nuestro país? ¿cree usted que era necesario reforzar la protección penal del secreto de empresa?
Se trata de todo un avance. El respeto y protección de activos tan importantes como son los secretos empresariales es una materia que teníamos pendiente, y por supuesto necesario. Esta Ley resulta de alta utilidad al procurar incrementar la eficacia de la protección jurídica de los secretos empresariales, y además introduce un concepto que todavía no había sido definido legalmente, el “secreto de empresa”, basado en una serie de condiciones cumulativas que una vez concurran, la información es considerada como secreto empresarial.
En este sentido, es claro que había llegado el momento de que esta norma viera la luz teniendo en cuenta que en otros países (e.g. Estados Unidos) disponen de este tipo de regulaciones desde hace tiempo.
El hecho de que se haya reforzado la protección penal del secreto empresarial parece acertado, en la medida en que hace dar la importancia que merece por parte de todos aquellos que traten con este tipo de información, procurando una mayor diligencia por el riesgo penal existente. Igualmente, puede ayudar a prevenir ataques provenientes de terceros que quieran apoderarse de secretos de empresa en su beneficio, teniendo en cuenta además que han de valorar los riesgos implícitos de ser responsable de un delito, tales como las pérdidas reputacionales que supondría para la empresa o empresarios, derivando en la pérdida de confianza de clientes y proveedores.
¿Cómo acostumbran a afrontar las organizaciones el riesgo de robo o filtrado de información confidencial?, ¿qué medidas adoptan?
Prácticamente todas las empresas incorporan cláusulas específicas en las contrataciones, o formalizan acuerdos de confidencialidad como anexos de estos contratos, ya sean con empleados, directivos, asociados comerciales, clientes, etc.
Igualmente, la ciberseguridad en este sentido cobra vital importancia ya que hoy en día es habitual el uso de nuevas tecnologías. Contar con herramientas que protejan la integridad de los datos y evitar que terceros puedan hacerse con la información sensible es crucial, por ello es frecuente establecer obligaciones y pautas relativas a contraseñas seguras, cifrado de datos, limitaciones del uso de “clouds” donde se almacena todo tipo de información, restringir el uso de redes wifi, obligación de realizar conexiones VPN, etc.
La norma establece que pueda pedirse medidas cautelares al juez para evitar que se revele ese hecho o información privilegiada. ¿Le parece acertado esta medida?
Por supuesto. Esto hace que ante todo quede a salvo el secreto empresarial.
El hecho de facultar a jueces y tribunales para que adopten las medidas necesarias para proteger la información confidencial que se aporte en los procedimientos judiciales, e incluso restringir el número de personas que pueden acceder a la documentación incluida en el procedimiento, evita que los titulares legítimos de las acciones pertinentes se vean impedidos o desanimados a la hora de ejercitar dichas acciones por el temor a que los secretos sean revelados.
Es una garantía necesaria para que el secreto empresarial sea preservado durante todo el procedimiento.
Desde fuera, da la sensación de que lo más complicado será acreditar esos hechos de sustracción.
Tendremos que estar atentos a futuros pronunciamientos de los Tribunales para conocer el sentido en el que enfocan toda esta materia y la fundamentación que exponen para razonar los fallos, pero es claro que esta valoración será objeto de varias interpretaciones hasta el momento en el que se siente jurisprudencia.
No obstante, podría ser una tarea algo más sencilla si la entidad cuenta con unos protocolos adecuados de acceso y control de información sensible, y las herramientas usadas a estos efectos sean capaces de crear un registro y trazabilidad de la documentación y del personal que ha usado o consultado la misma.
¿Qué papel tiene el compliance Officer en esa custodia de los secretos de las empresas?
El Compliance Officer debe impulsar una cultura de confidencialidad y, por supuesto, velar por el cumplimiento de la normativa aplicable a la entidad.
Sería recomendable que el Compliance Officer adecúe el mapa de riesgos y los controles correspondientes, para que se contemplen estos nuevos riesgos de fuga de secretos empresariales. Una pronta identificación y evaluación de estos riesgos relacionados con los secretos empresariales es ideal para establecer todas aquellas medidas encaminadas a protegerlos.
Quizá lo más importante dentro de las tareas de crear e impulsar esta cultura de confidencialidad es planificar una formación adecuada para ello, tratando en la medida de lo posible personalizar la formación en función de las áreas de la entidad y del personal que tiene acceso a información sensible, ya que no todos pueden acceder a este tipo de información.
Puede que no todos necesiten el mismo grado de conocimiento en lo que a protección del secreto empresarial se refiere, pudiendo definir perfiles básicos, avanzados o expertos, siempre que se sienten las bases de concienciación necesaria para que los secretos empresariales queden a salvo. No olvidemos que la formación debe ser útil y práctica para todo el personal.
También es destacable el papel que juegan las medidas reactivas adoptadas una vez los secretos de empresa hayan sido vulnerados, así como las consecuencias que podría comportar pudiendo llegar incluso al ejercicio de las acciones pertinentes ante los tribunales. Todo ello resulta favorable para las entidades en la medida en que mitiga y reprime cualquier tipo de actuación que suponga una transgresión de secretos de empresa por parte de empleados o terceros.
¿Cómo debería proteger esos secretos empresariales para estar al margen de terceros?
Es cierto que la principal fuente de vulneración de secretos empresariales proviene de los empleados y personas vinculadas a la organización que tienen acceso a ese tipo de información por el tipo de funciones y trabajo que desarrollan. Por esa misma razón, y en aras de garantizar la concienciación necesaria, la formación es primordial. La planificación, adecuación e inversión en formar a los empleados debe ser una de las prioridades dentro de la organización.
El establecimiento de protocolos adecuados de acceso y control de información sensible parece una medida necesaria que toda entidad debería adoptar. Sería altamente recomendable que esto sea complementado con el uso de herramientas y sistemas capaces de crear un registro y trazabilidad de la documentación relevante, así como del personal que tenga acceso, haya usado o consultado la información sensible
“Es fundamental que la protección de este tipo de información tenga la importancia que merece”
Igualmente, pueden establecerse otro tipo de medidas encaminadas a impedir la revelación de secretos, tales como sanciones disciplinarias que muestren el compromiso de la entidad por medio de la tolerancia cero, control y restricción de acceso a la documentación confidencial, medidas de ciberseguridad, establecer una cadena de custodia, herramientas que hagas posible determinar su trazabilidad, etc.
Contar con los medios necesarios para preservar los secretos empresariales es directamente proporcional al nivel de seguridad de los mismos. Se debe procurar que la protección de información de este tipo obtiene la importancia que merece.
¿Cree que en nuestro país se creará una cultura de confidencialidad como ya existe en temas de cumplimiento normativo?
Es indispensable. Si bien es obvio que aun queda camino por recorrer, la preocupación por temas relacionados con el cumplimiento normativo en las organizaciones es cada vez mayor dada la creciente evolución y madurez de la gestión de los riesgos de cumplimiento a nivel internacional, y como consecuencia de los diversos escándalos con gran repercusión que han tenido lugar a lo largo de los años.
Al tratarse de información capaz de causar efectos tan sustanciales en la empresa, confío en que la creación de la cultura de confidencialidad no se prolongue más de lo necesario, aunque es cierto que, debido a esta gran relevancia, los empresarios ya se encuentran advertidos sobre esta materia. La diferencia es que ahora la protección jurídica de los secretos empresariales ha sido incrementada.
Aprovechando esta reforma se ha ampliado el listado de delitos que entrañan responsabilidad penal de la persona jurídica a nuevos riesgos penales relacionados con los mercados, el terrorismo y la malversación de caudales públicos. ¿qué opinión le merece esta ampliación del catalogo de delitos?
La ampliación del listado de delitos por los que una persona jurídica puede ser penalmente responsable ha sido consecuencia de la obligación de trasposición de Directivas de la Unión Europea, y también han aprovechado la oportunidad para endurecer las penas.
La ampliación me parece conveniente ya que esto otorga mayor seguridad jurídica, haciendo del mercado un espacio más seguro y justo. Para adaptarse a las nuevas exigencias y evitar responsabilidades penales en las empresas, será tarea del Compliance Officer revisar y actualizar los mapas de riesgos, controles y planes de prevención, los cuales de ahora en adelante cobrarán una mayor importancia dada relevancia y los beneficios directos para las sociedades.
Y en general ¿qué opinión le merece el listado de delitos que se aplican en España a la persona jurídica?, ¿lo considera adecuado, demasiado amplio o incorporaría nuevos riesgos a los ya regulados?
Parece evidente que los riesgos penales a los que se enfrentan las empresas van en aumento. Un claro ejemplo en este sentido podría ser Francia, donde no hay un numerus clausus de delitos de los que pueden ser penalmente responsables las empresas, siendo todas las infracciones tipificadas objeto de riesgo para toda entidad, salvo disposición expresa en contrario en el propio delito.
No obstante, me parece adecuado el catálogo de delitos, aunque quizás haya algunos otros que podrían incluirse, como por ejemplo apropiación indebida, delitos contra los derechos de los trabajadores, así como otros relacionados con la ciberseguridad. No obstante, no debemos olvidar que contamos con las consecuencias accesorias del artículo 129 del Código Penal, gracias a las cuales pueden imponerse sanciones a las empresas en las cuales se hayan cometido delitos no comprendidos en el artículo 31 bis del Código Penal.