En febrero de 2019 se publicó en el Boletín Oficial del Estado (BOE) la Ley 1/2019 de secretos empresariales. El objetivo de la misma es la protección de los secretos de las empresas, concretando su definición conforme a lo previsto en la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo de 8 de junio de 2016.
El primer hito novedoso e importante para los departamentos de Seguridad lo encontramos en su artículo 1. En él se establece la definición de secreto de empresa, significando que lo será cualquier información que sea secreta, tenga valor empresarial y haya sido objeto de medidas razonables por parte de su titular para mantenerla en secreto.
La protección se dispensa al titular de un secreto empresarial, que es cualquier persona física o jurídica que legítimamente ejerza el control sobre el mismo. Y se extiende frente a cualquier modalidad de obtención, utilización o revelación de la información constitutiva de aquel que resulte ilícita o tenga un origen ilícito con arreglo a lo previsto en esta ley.
La Ley 1/2019 establece unas reglas para preservar el tratamiento confidencial de la información generada por una empresa
Conductas ilícitas
En dicho texto normativo, en su Capítulo II se detallan cuáles son las circunstancias en las que la obtención, utilización y revelación de secretos empresariales no serán consideradas como ilícitas en consideración a intereses dignos de una mayor tutela.
Y en su artículo 3 se regula cuáles son las conductas que se consideran ilícitas por suponer una violación de los secretos empresariales. En este sentido, destacar que dicha protección se extiende también de forma novedosa a las llamadas “mercancías infractoras”, incluyéndose los actos de explotación de estas mercancías entre los que constituyen violación de secreto empresarial.
Se consideran “mercancías infractoras” aquellos productos y servicios cuyo diseño, características, funcionamiento, proceso de producción o comercialización se benefician de manera significativa de secretos empresariales obtenidos, utilizados o revelados de forma ilícita.
Se entenderá ilícita la obtención de los secretos empresariales cuando se lleve a cabo mediante las siguientes acciones, siempre y cuando se realice sin el consentimiento del titular de la información protegida:
- El acceso, apropiación o copia no autorizados de documentos, objetos, materiales, sustancias, ficheros electrónicos u otros soportes que contengan el secreto empresarial o a partir de los cuales se pueda deducir.
- Cualquier otra actuación que, en las circunstancias del caso, se considere contraria a las prácticas comerciales leales.
Se considera como comportamiento ilícito la utilización o revelación de un secreto empresarial. También cuando dicha información se haya obtenido de forma ilícita y se divulgue o transfiera incumpliendo un acuerdo de confidencialidad o cualquier otra obligación de no revelar el secreto empresarial. Y quien haya incumplido una obligación contractual o de cualquier otra índole que limite la utilización del secreto empresarial.
Asimismo, se entenderá como ilícita la obtención, utilización o revelación de un secreto empresarial cuando la persona que realice la acción, en el momento de hacerlo, sepa, o en las circunstancias del caso debiera haber sabido, que obtenía el secreto empresarial directa o indirectamente de quien lo utilizaba o revelaba de forma ilícita.
Finalmente, se considera uso ilícito de un secreto de empresa la producción, oferta o comercialización de mercancías infractoras o su importación, exportación o almacenamiento con tales fines cuando la persona que las realice sepa, o en las circunstancias del caso debiera haber sabido, que el secreto empresarial que incorporan se había utilizado de forma ilícita.
Tratamiento confidencial
En el resto de la ley se desarrollan los aspectos legales para la protección de dichos secretos empresariales, así como las acciones legales y medidas de protección que se pueden solicitar y qué jurisdicción será la competente.
En definitiva, la nueva ley establece unas reglas para preservar el tratamiento confidencial de la información generada por la empresa. Se configura un marco normativo para el desarrollo de diligencias de comprobación de hechos (artículo 17). Y, por último, se acuerdan una serie de medidas cautelares judiciales para garantizar la efectividad de la protección (artículos 20 y 21).
Para proteger la información empresarial, el titular debe adoptar medidas razonables con el objetivo de mantenerla en secreto
Tipos de secreto
Como se puede ver, esta norma tiene como finalidad proteger en su conjunto los secretos de las empresas. Buscando una aplicación más directa al entorno de la seguridad, se puede considerar que hay tres tipos de secreto específicos que pueden ser protegidos por dicha norma.
En primer lugar, tendríamos los “secretos” de las propias empresas de seguridad. Ello abarcaría el diseño de los sistemas de seguridad, las innovaciones o invenciones tecnológicas desarrolladas por la empresa, los proyectos de instalación de clientes, los datos y las contraseñas de los usuarios, etc.
En segundo lugar estarían los “secretos” de los departamentos de Seguridad, que podrían extenderse a toda aquella información sensible para la empresa con la que se trabaja en dicho departamento, como planos de instalaciones de sistemas de seguridad, contraseñas de acceso, sistemas de ciberseguridad, los apartados más sensibles de los planes directores de seguridad…
Por último, nos encontramos con los secretos en materia de seguridad de las empresas en general y que podrá suponer la protección especial para evitar su utilización maliciosa o difusión de aquellas informaciones sensibles relativas a las instalaciones de seguridad. Como, por ejemplo, los datos relativos al sistema de seguridad instalado, las contraseñas de acceso, los sistemas de ciberseguridad, etc.
Medidas razonables
En todo caso, conviene tener muy claro que para proteger esa información con valor empresarial en base a esta nueva ley es necesario adoptar las medidas razonables por parte del titular para mantenerla en secreto, bien a través de su almacenamiento en armarios o recintos protegidos del acceso libre, bien mediante su encriptación. O, por ejemplo, haciendo saber de forma expresa y directa a los usuarios que tengan acceso a dichos datos que esa información se considera secreta a los efectos previstos en el artículo 1 de la Ley 1/2019, de 20 de febrero, de secretos empresariales.