La protección de secretos empresariales

Secretos empresarialesDeterminados activos intangibles han gozado desde hace años de protección jurídica mediante las patentes de invención, modelos de utilidad y los diseños industriales, regulados mediante legislación en el ámbito de la UE y también en España.

 

Pero también ha existido un vacío en relación a aquellos datos o información, que merecen igualmente la consideración de activos intangibles por su gran valor para la empresa, que se refieren a conocimientos que no son susceptibles de protección mediante los derechos referenciados o que, aun pudiendo recibir tal protección, están sometidos a riesgos importantes durante los proyectos de investigación y desarrollo o, en su caso,  por el hecho de que la empresa decide protegerlos por otros medios. Por ejemplo el no interés en sujeción al plazo máximo de 20 años establecido para las patentes de invención.

 

Como respuesta a este vacío se ha aprobado la Directiva 2016/943 de protección de secretos empresariales, que ha sido objeto de transposición en España mediante la Ley 1/2019 de protección de secretos empresariales (en adelante “LSE”).

 

La LSE exige los siguientes requisitos para que un dato o información sea considerada secreto empresarial:

  • Sea secreto para las personas del entorno en que es objeto de tratamiento.
  • El dato o información tenga un valor empresarial.
  • La empresa haya adoptado las medidas o controles que demuestren su interés en mantenerlo en secreto.

 

En definitiva, hablamos de datos que se refieren a un conocimiento o saber de gran valor, por su impacto positivo en el negocio y como factor diferenciador respecto de la competencia.

 

Los activos intangibles son más vulnerables que los tangibles por su facilidad de acceso on-line, porque están disponibles las 24 horas del día y por el hecho de que la corrupción de los datos confidenciales puede no ser detectada por la empresa. A esto hay que sumarle las amenazas que pueden ser externas, cuando el acceso no autorizado a los datos confidenciales se produce por un ciber delincuente o por una empresa de la competencia, o internas cuando la corrupción de los datos confidenciales la genera un empleado o un exempleado de la propia empresa.

 

El problema radica en que la mayoría de las empresas ponen el foco de protección en sus sistemas informáticos, en reforzarlos para evitar los ciberataques o accesos no autorizados a datos confidenciales.

 

Consideramos que, primero, es necesario identificar qué categorías de datos se tratan en los sistemas de información de la empresa, su nivel de criticidad, quién y qué perfil tiene cada usuario de los datos, en qué condiciones se tratan y qué riesgos inherentes existen en función de una serie de factores. Por ejemplo el volumen de usuarios que tratan cada dato reservado, perfil y poder de toma de decisiones de cada usuario, tratamiento interno en la empresa o externo, uso o no uso de dispositivos móviles o portátiles, etc.

 

Este paso previo es imprescindible, ya que permitirá alinear de forma eficiente todas las políticas, protocolos y procedimientos de seguridad, con el fin de mitigar al máximo los riesgos hasta un nivel aceptable, garantizando la confidencialidad, integridad y disponibilidad de los datos más críticos o confidenciales de la empresa.

 

RSM ALERTA