La nueva ley de secretos empresariales y la protección de datos ¿algo en común?
Hoy 21 de febrero se ha publicado la Ley 1/2019 de Secretos empresariales.
Esta Ley supone la trasposición de la Directiva (UE( 2016/943 relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales)contra su obtención, utilización y revelación ilicítas.
Una norma que nos hace falta y cubre un «hueco» hasta ahora regulado en acuerdos de confidencialidad y no mucho más. Cuando llegaba la hora de defender un «secreto empresarial» la vía era la competencia desleal y con dificultades.
La Ley, en sintonía con la Directiva, nos aclara conceptos:
Qué es un secreto empresarial:
Cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero.
Qué requisitos tiene que cumplir:
1.- Ser secreto. Parece obvio pero tiene que ser algo que no es conocido por todo el mundo ni fácilmente accesible.
2.- Tener un valor empresarial, precisamente por ser secreto.
3.- Haber sido objeto de medidas razonables por parte de su titular para mantenerlo en secreto.
Y he aquí en este tercer punto, las «medidas razonables» donde tenemos recorrido pues la ley nada dice al respecto.
En contenido de la ley desarrolla las acciones de defensa de los secretos empresariales: acciones, medidas cautelares, diligencias, cómo tratar la información en los procedimientos (lo cual no es baladí si tenemos en cuenta que en los propios procedimientos se podrían vulnerar los secretos), etc.
Sin embargo, ¿qué tendría que hacer un empresario para proteger sus secretos empresariales?
Es aquí enlazamos con nuestro tema favorito: la protección de datos.
¿Puede una base de datos personales ser un secreto empresarial?
Que se lo pregunten a cualquier empresa. A veces el mayor valor de la empresa son sus clientes.
¿Y qué hay que hacer para considerarla secreto empresarial?
1.- Es realmente un secreto según la definición que nos da la ley?
2.- ¿tiene valor comercial?
3.- ¿Qué estamos haciendo para protegerla?
Porque si cualquiera puede acceder, copiar, extraer. Si a nadie se le ha dicho que eso es secreto, si ese conjunto de datos carece de valor etc… difícilmente podremos invocar la nueva Ley y sus acciones.
¿Y qué tiene que hacer un empresario para proteger sus secretos? ¿Cuáles son esas medidas razonables para mantener el secreto?
El Reglamento UE 2016/679 General de Protección de Datos (nuestro querido RGPD o GDPR) nos sirve de referencia así como los esquemas de seguridad de la información ya existentes.
Apuntamos algunas ideas:
- Clasificación de la información
- Accesos restringidos: físicos y lógicos
- Políticas de gestión de soportes y traslado de información
- Políticas de uso de herramientas informáticas (ojo, y de papel y otros soportes)
- Ciberseguridad: dónde está la información, cómo está protegida, si está cifrada, qué proveedores acceden a ella, dónde están esos proveedores…
- Acuerdos de confidencialidad donde expresamente se objetive la información protegida
- Políticas de copias de seguridad
- Políticas de transmisión de la información a través de redes de telecomunicaciones: establecer restricciones al envío por correo electrónico de ciertas informaciones
- Formación del personal
- Revisiones periódicas, controles y auditorías
- Y en definitiva… un largo etcétera que forma parte de un plan director de seguridad de la información que toda empresa (pequeña o grande) debería tener para proteger esa información y que lo forman ese conjunto de procedimientos, medidas y controles.
Está todo inventado. Si queremos proteger la información crítica de nuestros negocios y considerarla «secreto empresarial» no podemos conformarnos con decir simplemente «esto es secreto». Debemos trabajar en su protección y herramientas existen para que sea eficaz.
¿Podemos ayudarte?
21 de febrero de 2019
Paz Martin
#losdetallesimportan