Entradas

La nueva ley de secretos empresariales y la protección de datos ¿algo en común?

Hoy 21 de febrero se ha publicado la Ley 1/2019 de Secretos empresariales.

Esta Ley supone la trasposición de la Directiva (UE( 2016/943 relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales)contra su obtención, utilización y revelación ilicítas.

Una norma que nos hace falta y cubre un «hueco» hasta ahora regulado en acuerdos de confidencialidad y no mucho más. Cuando llegaba la hora de defender un «secreto empresarial» la vía era la competencia desleal y con dificultades.

La Ley, en sintonía con la Directiva, nos aclara conceptos:

Qué es un secreto empresarial:

Cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero.

Qué requisitos tiene que cumplir:

1.- Ser secreto. Parece obvio pero tiene que ser algo que no es conocido por todo el mundo ni fácilmente accesible.

2.- Tener un valor empresarial, precisamente por ser secreto.

3.- Haber sido objeto de medidas razonables por parte de su titular para mantenerlo en secreto.

Y he aquí en este tercer punto, las «medidas razonables» donde tenemos recorrido pues la ley nada dice al respecto.

En contenido de la ley desarrolla las acciones de defensa de los secretos empresariales: acciones, medidas cautelares, diligencias, cómo tratar la información en los procedimientos (lo cual no es baladí si tenemos en cuenta que en los propios procedimientos se podrían vulnerar los secretos), etc.

Sin embargo, ¿qué tendría que hacer un empresario para proteger sus secretos empresariales?

Es aquí enlazamos con nuestro tema favorito: la protección de datos.

¿Puede una base de datos personales ser un secreto empresarial? 

Que se lo pregunten a cualquier empresa. A veces el mayor valor de la empresa son sus clientes.

¿Y qué hay que hacer para considerarla secreto empresarial?

1.- Es realmente un secreto según la definición que nos da la ley?

2.- ¿tiene valor comercial?

3.- ¿Qué estamos haciendo para protegerla?

Porque si cualquiera puede acceder, copiar, extraer. Si a nadie se le ha dicho que eso es secreto, si ese conjunto de datos carece de valor etc… difícilmente podremos invocar la nueva Ley y sus acciones.

¿Y qué tiene que hacer un empresario para proteger sus secretos? ¿Cuáles son esas medidas razonables para mantener el secreto?

El Reglamento UE 2016/679 General de Protección de Datos (nuestro querido RGPD o GDPR) nos sirve de referencia así como los esquemas de seguridad de la información ya existentes.

Apuntamos algunas ideas:

  • Clasificación de la información
  • Accesos restringidos: físicos y lógicos
  • Políticas de gestión de soportes y traslado de información
  • Políticas de uso de herramientas informáticas (ojo, y de papel y otros soportes)
  • Ciberseguridad: dónde está la información, cómo está protegida, si está cifrada, qué proveedores acceden a ella, dónde están esos proveedores…
  • Acuerdos de confidencialidad donde expresamente se objetive la información protegida
  • Políticas de copias de seguridad
  • Políticas de transmisión de la información a través de redes de telecomunicaciones: establecer restricciones al envío por correo electrónico de ciertas informaciones
  • Formación del personal
  • Revisiones periódicas, controles y auditorías
  • Y en definitiva… un largo etcétera que forma parte de un plan director de seguridad de la información que toda empresa (pequeña o grande) debería tener para proteger esa información y que lo forman ese conjunto de procedimientos, medidas y controles.

Está todo inventado. Si queremos proteger la información crítica de nuestros negocios y considerarla «secreto empresarial» no podemos conformarnos con decir simplemente «esto es secreto». Debemos trabajar en su protección y herramientas existen para que sea eficaz.

¿Podemos ayudarte?

21 de febrero de 2019

Paz Martin

#losdetallesimportan

 

 

 

¿De quién es el código fuente de una App, web o software? Propiedad intelectual y contratos

Siendo un tema habitual no es por ello menos recurrente la consulta de a quién pertenece el código fuente de un programa de ordenador o de una app.

Ambos son objeto de propiedad intelectual y sus particulares circunstancias están reguladas en el Texto Refundido de la Ley de Propiedad Intelectual (Real Decreto Legislativo 1/1996, de 12 de abril).

El código fuente es una parte del programa de ordenador y pertenece como el resto de las partes, de entrada, a su autor, a su creador, en nuestra terminología: al desarrollador.

Los derechos de propiedad intelectual se transmiten (excepto los morales que son irrenunciables e inalienables).

Ahora bien, nada dice la Ley al respecto del código fuente (con excepción de los límites a la solicitud de consentimiento- véase artículo 100) y surgen algunas dudas sobre si el código fuente, esto es, el lenguaje de programación pertenece a su creador para siempre o si es transmitido a quien ha pagado, por ejemplo, por el desarrollo de tal programa (web, app, etc). Además, lo habitual es que quien haya desarrollado la web o la app se ocupe igualmente de su mantenimiento, actualización etc.

¿Qué sucede cuándo el cliente «exige» el código fuente?

En este punto utilizaremos una de nuestras palabras favoritas: “depende”.

Vaya por delante que este post no es un artículo doctrinal sino que pretende recoger unas líneas prácticas básicas de cuestiones reiteradamente planteadas por clientes: desarrolladores y clientes que encargan productos.

Pensemos en esos programas o aplicaciones por las que al pagar, en el fondo, estamos adquiriendo una licencia de uso. No encargamos un desarrollo, simplemente usamos algo que ha sido creado y es propiedad de otro (ojo que pueden ser personas distintas). En este caso, el usuario no tiene más derechos que los que se derivan de la propia licencia de uso.

Segundo escenario: una aplicación o programa comercial, necesita para adaptarse a nuestra empresa, una “personalización” o desarrollo específico para que funcione en nuestra organización. Hay una parte de desarrollo que el desarrollador vende a diferentes empresas y que supone la esencia de su propio negocio (y que por supuesto no estará dispuesto a entregar) y otra parte que implica un desarrollo muy personalizado de esa aplicación digamos «comercial». De aquí surgen la mayoría de las consultas.

Tercer escenario: solicitamos “un traje a medida” un desarrollo específico siguiendo nuestras instrucciones e indicaciones precisas de lo que queremos, cómo lo queremos y cómo queremos que funcione. Digamos que el desarrollador es un «ejecutor» de las instrucciones del cliente.

Vaya por delante que en materia de aplicaciones, webs y software de gestión “personalizado” nos encontramos ante situaciones “híbridas” y ni el traje a medida es tan a medida ni el desarrollador es un mero “ejecutor” sino que parte de un know-how y desarrollos y conocimientos propios y previos.

Se trata de tres escenarios distintos en los que lo habitual, es que no medie ningún tipo de contrato en el que se especifique de quién son los derechos de propiedad intelectual. Quizás, sólo en el primer caso, en las licencias de uso o End-User Licence Agreement (EULA), la descarga o instalación suele ir acompañada de una aceptación de unos términos y condiciones donde se admite que estamos claramente ante una licencia de uso sin más derechos que los establecidos en la Ley de Propiedad Intelectual.

En el resto de los casos, la propuesta de trabajo, el presupuesto o los términos del desarrollo rara vez especifican claramente la propiedad intelectual del desarrollo y lo que es más importante, la obligación o no de entregar el código fuente al “cliente”, esto es, a quien ha encargado el desarrollo y/o lo va a utilizar.

Esta cuestión ha llegado a los tribunales y contamos de hecho con dos resoluciones, una de ellas del Tribunal Supremo que abordan claramente esta cuestión y que nos ofrecen una pauta de lo que debería ser: Nos referimos a la Sentencia de la Sala Primera del Tribunal Supremo17 de mayo de 2003 (num. 492/2003) en la que fruto de un conflicto entre desarrollador y cliente, se discute la obligación de la entrega del código fuente para realizar modificaciones para adaptarlo a las necesidades del usuario y actualizarlo.

En el caso de autos el programa se había encargado “a medida” y la Sala concluye que procede la entrega del código fuente al “cliente” porque “hay que tener presente que el programa informático objeto de autos, no se refiere a un producto standard, sino que ha sido un programa individualizado y además sobredimensionado; lo que pretenden hacer los demandados no es una reproducción del mismo, sino de una modificación para adaptarlo a las necesidades del usuario que encargó el programa de ordenador, lo que unido a la circunstancia de que se cumplen los supuestos del citado precepto -similar al actual artículo 100 de la Ley actual-:

  1. Los reconvinientes son los legítimos usuarios del programa.
  2. Que los actos de modificación son necesarios para la utilización del programa de ordenador con arreglo a la finalidad propuesta. Supuesto este último que se deduce de la propia prueba pericial acordada para mejor proveer, y del propio hecho de que los demandados reconvinientes tuvieron que adquirir de distinto proveedor nuevo programa, apenas utilizado el anterior y ello, por no haberles sido entregada una copia de las “fuentes” del programa de ordenador individualizado, ya que sin ella no se puede actualizar el programa hecho a medida ni por supuesto introducir posibles mejoras”.

De esta Sentencia y de otra posterior de la Audiencia Provincial de Valencia de 13 de marzo de 2006 (num. 164/2006) se infieren varias a cuestiones a tener en cuenta:

  1. Que es fundamental especificar en los contratos la entrega o no del código fuente y en su caso, el cobro de una cantidad adicional por aquel, para aclarar la posición de las partes y para evitar interpretaciones posteriores, especialmente si estamos ante desarrollos en los que ni el desarrollador parte de cero sino que utiliza como base desarrollos propios anteriores, es decir que el traje “a medida” es discutible.
  2. Que en función del tipo de desarrollo podemos estar o no obligados a dicha entrega pues de hecho los desarrolladores, como autores materiales del programa, aducen que “habitualmente no se entrega pues constituye el instrumento empresarial para la creación de las páginas web”.
  3. Las reglas de interpretación de los contratos tienen en cuenta en primer lugar lo pactado por las partes pero también la propia naturaleza del encargo (si es a medida o no) y que en el caso de haberse realizado a medida no se admitirían restricciones al respecto. Es especialmente ilustrativa a efectos de la interpretación de la voluntad de las partes en un contrato de estas características la Sentencia de la Audiencia Provincial de Málaga de 26 de diciembre de 2014 (num. 910/2014) que cita a su vez una consolidada doctrina jurisprudencial del Tribunal Supremo que afirma que “si la claridad de los términos de un contrato no dejan duda sobre la intención de las partes, no cabe la posibilidad de que entren en juego las restantes reglas contenidos en los artículos siguientes (al 1281 del Código civil) que vienen a funcionar con el carácter de subsidiarias.

Los supuestos comentados y objeto de sentencia tienen unas características concretas y las conclusiones a las que llegan los tribunales no son absolutas sino aplicadas a esos casos. En cualquier caso, sí apuntan, como se puede comprobar, a la voluntad de las partes desde el comienzo de la relación. El problema es cuando «la voluntad de las partes» no queda clara en ninguna parte y es contradictoria.

Por lo tanto y a modo de conclusión, consejos para desarrolladores, creadores y demás:

  • Recoger todos los aspectos en un contrato, más sencillo o más complejo, pero en el que queden definidas estas cuestiones que posteriormente pueden dar lugar a conflictos.
  • En el caso de desarrollos más o menos a medida, en lugar de una entrega inmediata del código fuente, se puede pactar su depósito en un tercero de confianza mediante la firma de un “contrato de escrow”, de forma que el código es recuperable por el cliente en los casos en los que el desarrollador desaparezca o se encuentre en posición de no poder garantizar el mantenimiento o el soporte de dicho desarrollo.
  • Y por supuesto consultar antes de entregar todo o de decir que no de forma taxativa, pues en estas cuestiones no reguladas específicamente en las leyes, más vale prevenir…

Paz Martin