Cuando pensamos en secretos empresariales seguramente se nos viene a la mente la fórmula de la Coca-Cola. Pocos seremos los que pensemos en los címbalos o platillos de Zildjian, utilizados por baterías tan iconos como Ringo Starr de los Beatles.
La leyenda de la formula Zildjian se remonta a 1623. Dice su historia que Avedis, alquimista Armenio al servicio del Sultán Otomano Mustafa I, descubrió su fórmula combinando cobre y otros metales llegando a conseguir un sonido y durabilidad inigualable. El Sultán, tan impresionado con el resultado, le otorgó 80 monedas de oro y un contrato con el ejercito Otomano en Constantinopla, nombrándole Avedis Zildjan o Avedis “Fabricante de Címbalos”.
Casi ya 400 años más tarde, la fórmula sigue siendo protegida por la 14ª generación de la familia Zildijan. Esto no solo les convierte en una de las empresas familiares más longevas del mundo, sino en guardianes del que quizás sea el secreto empresarial más antiguo de nuestra historia.
Los secretos empresariales pueden ser más que formulas secretas. En España la Ley 1/2019, de 20 de febrero, de Secretos Empresariales (`LES´) lo define como “cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero.” Así pues, podríamos considerar secretos empresariales aquellos planes estratégicos ya sean comerciales o de M&A, así como algoritmos o incluso la analítica resultante de estos, entre otros.
El Articulo 1 de la LES nos explica, en mayor profundidad, tres condiciones que la información o conocimiento debe reunir para considerarla secreto empresarial:
Ese último punto es clave y donde es necesario asesoramiento experto, ya que, sin medidas de protección razonables y acreditables, es poco probable que la información o conocimiento sea considerada secreto empresarial.
En una parte significativa de las actuaciones informático-forenses nos encontramos con importantes deficiencias en el entorno de control que pueden afectar nuestras conclusiones, por ejemplo:
Para la aplicación de medidas de protección razonables y acreditables al secreto empresarial, lo más recomendable es considerar lo siguiente:
Tras una década en la que los ciberataques continúan dominando los telediarios y cuando la mayoría de la información empresarial se encuentra ya digitalizada, seguramente pensemos que la protección es contra hackers de países remotos. Lamentablemente, en el ámbito de secretos empresariales, cada vez con mayor frecuencia son personas de confianza quienes comparten o utilizan información ilícitamente, no solo desde el punto de vista de la LES sino del Código Penal y del ámbito de Competencia Desleal.
Personal clave con acceso a secretos empresariales que descargan este tipo de información a un USB, la reenvían a una cuenta de correo externa o la suben a un portal externo (ejem. Dropbox). Esta actividad normalmente empieza días o semanas previas a causar baja para posteriormente incorporarse en una empresa de la competencia.
Para mitigar estos riesgos es importante seguir las recomendaciones ya mencionadas. Y, en caso de sospechas, los dispositivos informáticos deberían de ser preservados de forma forense y analizados para determinar si ha habido irregularidades en la gestión de la información confidencial, y en su caso, reportarlas en un informe informático pericial como parte de los procedimientos judiciales /civiles aplicables.
Puede darse el caso de que nuevos empleados que traen información de su antigua empresa la carguen y compartan en carpetas o por correo electrónico, utilizándola para el desempeño de sus nuevas funciones y, en consecuencia, contaminando la empresa con información adquirida ilícitamente.
De igual forma encontramos situaciones en las que la información ha llegado a la empresa previamente a la incorporación del nuevo empleado.
Al igual que en el punto anterior, aquí es imprescindible aplicar las recomendaciones de Protección. Y, en caso de sospechas, también es recomendable seguir los protocolos de investigación de irregularidades.
La violación de secretos empresariales está tipificada en la misma LES, Capitulo II, Articulo 3, con acciones civiles contempladas en el Articulo 9.
Por otro lado, en el Código Penal resaltamos del Artículo 278 “…El que, para descubrir un secreto de empresa se apoderare por cualquier medio de datos, documentos escritos o electrónicos… será castigado con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses…”. Mientras que el Articulo 279 indica “…La difusión, revelación o cesión de un secreto de empresa… se castigará con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses…”
Consecuentemente, el riesgo de apropiación de nuestros secretos empresariales o de que utilicemos ilícitamente los de un tercero, debería de estar considerado en el mapa de riesgos de nuestra empresa: información saliente y entrante.
Ya argumentamos que el amparo que brinda la LES puede depender de las medidas de protección implantadas para mantener el secreto, valga la redundancia, secreto. Por ello, la importancia de que estas medidas sean acreditables, es decir que estén evidenciadas y que puedan ser comprobadas por un perito informático en caso de sospechas de irregularidades.
Finalmente, no olvidemos que las medidas de protección son clave en ambas casuísticas: información saliente y entrante. La defensa técnica contra querellas por violación de secretos empresariales podría, en parte, oscilar sobre este eje.
Deja un comentario