Uno de los errores más habituales en la protección y gestión de los activos intangibles es la existencia de deficiencias probatorias y reactivas a la hora de afrontar un posible violación o sustracción de tecnología o secretos empresariales de cualquier tipo. No tener un plan de contingencias o no actuar de forma diligente cuando la organización tiene indicios un acto ilícito de violación de un secreto empresarial o de un derecho de propiedad industrial o intelectual puede salir muy caro.
En el presente artículo identificaremos y describiremos un sencillo procedimiento a seguir que puede ayudarnos cuando se sospeche o se compruebe que se están produciendo, se han producido o existe riesgo de que se produzcan este tipo de conductas.
Actuaciones preliminares: estate preparado
En primer lugar y como presupuesto necesario, el personal de la organización deberá haberse comprometido contractualmente a poner en conocimiento de la dirección cualquier hecho que suponga o pueda suponer un acto ilícito de violación de un secreto empresarial o de un derecho de propiedad industrial o intelectual.
La organización deberá informar a sus empleados de que la puesta en conocimiento de este tipo de hechos se realizará tan pronto como se tenga conocimiento del mismo y se materializará, a ser posible, mediante un correo electrónico enviado a la Dirección, con copia al responsable de la seguridad (especialmente importante será ponerlo en conocimiento de los responsables de la seguridad informática).
Ya ha ocurrido: primeras medidas
Tan pronto como fuera posible, la dirección y el responsable informático procederán a adoptar las siguientes iniciativas, que serán especialmente importantes cuando el autor de la posible violación sea una persona de nuestra propia organización:
1. Determinar lo más precisamente posible la veracidad de la información, la identidad de los responsables, su alcance y efectos, ordenando medidas de investigación internas que no impliquen la manipulación o utilización del ordenador personal, el escritorio o la cuenta de correo electrónico del posible autor de la conducta ilícita.
2. Redactar una nota describiendo las conductas ilícitas acaecidas o con respecto de las cuales existe un riesgo de acaecimiento inminente, el alcance de esas conductas, la identidad de los eventuales responsables, la forma en que se han llevado a cabo las conductas y sus efectos reales y potenciales.
3. Ordenar la inmediata retención, custodia e inutilización del ordenador personal del sospechoso de ser responsable de las conductas ilícitas, así como de los sistemas de acceso remoto a su escritorio.
4. Prohibir cualquier manipulación o control informático del ordenador personal del eventual responsable de la realización de las conductas ilícitas.
5. Contactar con el responsable informático de la organización de cara de determinar los proyectos en los que el empleado sospechoso de haber realizado las conductas ilícitas participaba e identificar los secretos empresariales o información objeto de derechos de propiedad intelectual o industrial de la organización (presentes o futuros) a los que venía teniendo acceso.
6. Contactar con el responsable de recursos humanos de la organización para que éste prepare un informe que incluya el contrato de trabajo con el trabajador en cuestión, los pactos laborales posteriores, las medidas jurídicas y técnicas adoptadas con respecto al trabajador en cuestión, y la formación recibida por el trabajador desde que se incorporó a la organización.
7. Preparar un dossier que comprenda toda la información descrita en las letras anteriores.
8. Poner en inmediato conocimiento de asesores legales e informáticos externos los actos acaecidos para la adopción de medidas urgentes de preconstitución de prueba de la violación, su alcance y efectos, enviando copia del dossier descrito en la letra anterior a los citados asesores.
9. Valorar la posibilidad de iniciar un expediente contradictorio con el trabajador (a efectos de interrumpir los plazos de prescripción para la imposición de sanciones) y en todos aquellos casos en que la situación lo aconsejara, establecer incluso un periodo de suspensión de empleo con derecho a retribución, que evite que el empleado pueda tener acceso a más información durante la investigación.
10. Salvo que ello pudiera perjudicar la investigación, comunicar la situación a la representación legal de los trabajadores.
Tan pronto como se detecte la sospecha de violación de secretos empresariales a través de medios informáticos u electrónicos, se pondrá en conocimiento de asesores externos legales e informáticos, con el objetivo de garantizar la fiabilidad de la obtención de las pruebas electrónicas y las copias de seguridad.
Obtención de pruebas adecuadas
Además de llevar a cabo todo lo anterior, será fundamental el ser capaz de constituir una prueba adecuada, fiable y válida de la violación que se ha observado. Ello de cara a su posible utilización en el marco de procedimientos judiciales.
Los ordenadores personales u otros dispositivos de la empresa (smartphones, PDAs, tarjetas de memoria, USB…) que se sospeche que podrían estar involucrados deberán ser custodiados en lugar seguro. Los servidores de la organización y los de correo corporativo también deberán ser objeto de las medidas de custodia y no manipulación.
La obtención de pruebas digitales deberá realizarse, siempre que sea posible, en presencia:
1. de un notario público, que deberá levantar y custodiar en su protocolo el oportuno acta de presencia, constancia de hechos y manifestaciones que deberá protocolizarse.
2. de un perito experto en tecnología forense, que deberá garantizar la fiabilidad y documentar de la cadena de custodia de la copia forense a obtener para la realización de su trabajo
3. De un miembro de la representación legal de los trabajadores en la organización, siempre y cuando la puesta en conocimiento no pueda suponer un obstáculo para la propia investigación.