Secretos empresariales: identificación y protección preventiva
En un entorno empresarial cada vez más competitivo y digitalizado, la protección de la información confidencial se ha convertido en un activo estratégico fundamental para las organizaciones. Los secretos empresariales constituyen uno de los pilares del valor competitivo de las empresas y abarcan desde fórmulas y procesos técnicos hasta estrategias comerciales, bases de datos de clientes y conocimientos especializados (know-how).
Esta serie de tres artículos aborda de manera integral la gestión y la protección de los secretos empresariales desde una perspectiva jurídica y práctica. El primero se centra en la identificación y protección preventiva. El segundo analizará la gestión de la salida de empleados, con especial atención a los momentos críticos en los que la información confidencial es más vulnerable, en particular durante las transiciones laborales. Por último, el tercero examinará la respuesta legal ante la sustracción, desarrollando las estrategias procesales y los remedios jurídicos disponibles frente a competidores que se hayan apropiado indebidamente de secretos empresariales.
Introducción
El primer paso para proteger eficazmente los secretos empresariales consiste en identificar qué información merece tal consideración. No toda la información corporativa —ni siquiera toda la información confidencial o sensible de la empresa— constituye un secreto empresarial, y sin un proceso sistemático de identificación, pueden quedar desprotegidos activos valiosos o generarse costes innecesarios al proteger información sin valor estratégico.
Identificar activos sensibles requiere un análisis multidisciplinar (jurídico, tecnológico y de negocio) que evalúe el valor económico de la información, su vulnerabilidad y el impacto de su divulgación o apropiación.
Qué son los secretos empresariales
Los secretos empresariales son informaciones que cumplen tres requisitos esenciales establecidos en la Ley 1/2019, de 20 de febrero, de Secretos Empresariales (en adelante, “LSE”):
- Carácter secreto: la información no es generalmente conocida ni fácilmente accesible para las personas pertenecientes a los círculos que normalmente manejan ese tipo de información.
- Valor empresarial: la información tiene valor comercial, efectivo o potencial, precisamente por ser secreta. Este valor puede derivarse de su aplicación industrial, comercial o científica, o de su capacidad para proporcionar ventajas competitivas.
- Medidas razonables de protección: el titular ha adoptado medidas razonables, en las circunstancias del caso, para mantener su carácter secreto. Este requisito es fundamental, ya que, sin medidas de protección activas y suficientes, la información no goza de tutela legal.
Los secretos empresariales pueden incluir información de muy diversa naturaleza, por ejemplo, técnica (fórmulas, diseños, prototipos, procesos de fabricación, software), comercial (listas de clientes, estrategias de precios, planes de marketing, condiciones con proveedores), financiera (estructuras de costes, márgenes) u organizativa (métodos de gestión, sistemas internos).
Qué protección requieren
La protección debe ser adecuada y suficiente, atendiendo a la naturaleza, las características y el valor del secreto. La LSE exige “medidas razonables”, concepto que debe valorarse caso por caso y para el que los tribunales han establecido estándares elevados de exigencia.
Las medidas de protección deben ser:
- Efectivas: aptas para preservar el carácter secreto.
- Documentadas: acreditables en caso de litigio.
- Actualizadas: adaptadas a la evolución tecnológica y organizativa.
- Comunicadas: los empleados y terceros deben conocer qué información es confidencial y cuáles son las obligaciones que les incumben al respecto.
Instrumentos de protección
Contractuales
Los instrumentos contractuales constituyen la primera línea de defensa en la protección de secretos empresariales, al establecer obligaciones jurídicamente vinculantes para empleados, colaboradores y terceros.
| Cláusulas de confidencialidad en contratos laborales | Deben incluirse en todos los contratos de trabajo, especialmente para puestos con acceso a información sensible. Estas cláusulas deben identificar con precisión qué información se considera confidencial, establecer la obligación de no divulgarla durante y después de la relación laboral, y prever las consecuencias del incumplimiento. |
| Pactos de no competencia postcontractual | Regulados en el artículo 21 del Estatuto de los Trabajadores, permiten limitar la actividad profesional del empleado tras la extinción del contrato. Para su validez requieren que el empresario tenga un interés industrial o comercial legítimo, que se establezca una limitación temporal (de un máximo de dos años para los técnicos y de seis meses para los demás trabajadores) y territorial adecuada, así como que se prevea una compensación económica para el trabajador. |
| Acuerdos de confidencialidad (NDA) | Esenciales en negociaciones con potenciales inversores, socios, proveedores o clientes. Deben especificar qué información se divulga, el propósito de la divulgación, las obligaciones del receptor, la duración de la confidencialidad y las excepciones (información ya conocida, de dominio público o desarrollada independientemente). |
| Cláusulas en contratos con terceros | Proveedores, consultores, distribuidores y otros colaboradores externos deben asumir obligaciones de confidencialidad adaptadas a la información a la que tendrán acceso. |
Tecnológicos
La protección tecnológica complementa las medidas contractuales mediante barreras físicas y digitales al acceso no autorizado.
| Control de accesos | Implementación de sistemas de autenticación (contraseñas robustas, autenticación multifactor), autorización basada en roles (principio de mínimo privilegio) y registro de accesos (logs) que permitan auditorías y detección de accesos anómalos. |
| Políticas BYOD (Bring Your Own Device) | Ante el uso creciente de dispositivos personales con fines laborales, es imprescindible establecer políticas que regulen qué dispositivos pueden utilizarse, qué medidas de seguridad deben implementarse (cifrado, antivirus, actualizaciones) y qué ocurre con la información corporativa al finalizar la relación laboral (borrado remoto). |
| Almacenamiento seguro en la nube | Cuando se utilicen servicios cloud, deben seleccionarse proveedores que ofrezcan garantías adecuadas (cifrado en tránsito y en reposo, ubicación de servidores, certificaciones de seguridad), establecer contratos que aseguren la confidencialidad y regular quién tiene acceso a qué información. |
| Clasificación y marcado de documentos | Etiquetar la información según su nivel de sensibilidad (pública, interna, confidencial, secreta) facilita su tratamiento adecuado y refuerza la concienciación. |
| Sistemas DLP (Data Loss Prevention) | Herramientas que monitorizan y controlan la transferencia de información sensible, bloqueando envíos no autorizados por correo electrónico, dispositivos USB u otros canales. |
| Cifrado | Protección de información especialmente sensible mediante cifrado, tanto en dispositivos de almacenamiento como en comunicaciones. |
Marco normativo
Ley de Secretos Empresariales
La LSE transpone la Directiva (UE) 2016/943. Define el secreto empresarial, regula la obtención, utilización y revelación ilícitas, y establece medidas cautelares y definitivas para su protección.
La LSE prevé una legitimación activa amplia (que incluye al titular y los licenciatarios), medidas cautelares específicas (como la cesación y la prohibición de comercialización), la destrucción de productos infractores, la indemnización (lucro cesante y daño moral) y medidas destinadas a preservar la confidencialidad durante el proceso.
Ley de Competencia Desleal
La Ley 3/1991, de 10 de enero, de Competencia Desleal, en su artículo 13, considera desleal la violación de secretos empresariales cuando se realiza con ánimo de obtener provecho propio o de tercero o de perjudicar al titular del secreto.
Código Penal
El artículo 278 del Código Penal tipifica como delito el descubrimiento y la revelación de secretos de empresa, y sanciona con prisión y multa a quien se apodere de datos, documentos o soportes informáticos, o emplee medios de interceptación de comunicaciones u otros artificios técnicos para descubrir un secreto empresarial.
El artículo 279 sanciona al que, con conocimiento de su carácter reservado y sin autorización, divulgare, revelare o cediere a terceros secretos de empresa. La vía penal ofrece la ventaja de la intervención del Ministerio Fiscal y la posibilidad de medidas cautelares penales, aunque requiere acreditar el dolo y puede ser más lenta que la vía civil.
Conclusión
La protección eficaz de los secretos empresariales comienza con su correcta identificación y con la implementación de medidas preventivas. Las empresas deben adoptar un enfoque integral que combine instrumentos contractuales, tecnológicos y organizativos, adaptados a su realidad y al valor de la información.
El marco normativo español —reforzado por la LSE— ofrece herramientas robustas para la tutela de estos activos, pero su eficacia depende de la adopción previa de medidas suficientes y adecuadas de protección. Sin una estrategia preventiva sólida y documentada, la empresa quedará desprotegida frente a apropiaciones indebidas.
En los próximos artículos abordaremos los momentos críticos de vulnerabilidad de los secretos empresariales —especialmente durante la salida de empleados— y las estrategias jurídicas disponibles cuando se produzca su sustracción por competidores.
