Proteger el negocio de una empresa empieza por conocer y proteger su activo más importante, la información. No obstante, no toda información tiene la misma categoría y el mismo valor dentro de una organización, y por ende no toda información deberá ser objeto del mismo grado de protección.
La diferencia en el grado de protección de una información puede obedecer a varias razones, como los intereses de la propia organización o los propios requerimientos legales que pueden variar en función de la categoría de la información.
Si bien muchas veces nos podemos referir en general a toda la información no pública de una empresa como información confidencial, es necesario hacer una distinción entre información personal, información confidencial y secreto empresarial.
Información Personal:
Cuando hablamos de información o datos personales, hablamos de toda información sobre una persona física identificada (nombre, apellido, DNI, etc.) o identificable (número de teléfono, correo electrónico, etc.). Independientemente del sector, la mayor parte de la documentación en papel o en formato digital que posee una organización contendrá alguna información personal y, por tanto, su tratamiento estará sometido a la normativa de protección de datos.
Hay varias categorías de información personal, pudiendo mencionar incluso una categoría especialmente sensible como son aquellos datos personales que revelen el origen étnico o racial de una persona, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos, los datos de salud o los datos relativos a la vida sexual o la orientación sexual de dicha persona.
Esta distinción viene expresamente establecida en la principal normativa en materia de protección de datos aplicable en España: el Reglamento (UE) 2016/679, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Esta normativa establece una serie de derechos para las personas físicas titulares de los datos, al igual que una serie de obligaciones para las empresas que manejen dichos datos, con el fin de garantizar el derecho fundamental que en España tiene su fundamento en el artículo 18.4 de la Constitución española en virtud del cual la ley debe limitar el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
En el siguiente artículo te explicamos los principales aspectos clave del RGPD a tener en cuenta para tu empresa: https://www.youandlaw.es/2023/05/10/conocimiento-legal-aspectos-clave-sobre-rgpd-en-tu-empresa/
Secreto Empresarial:
Para entender este concepto debemos remitirnos a la Ley 1/2019, de 20 de febrero, de Secretos Empresariales (Ley de Secretos Empresariales) que considera secreto empresarial cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero, que reúna las siguientes condiciones:
Primera condición: Ser secreto, en el sentido de que, en su conjunto o en la configuración y reunión precisas de sus componentes, no es generalmente conocido por las personas pertenecientes a los círculos en que normalmente se utilice el tipo de información o conocimiento en cuestión, ni fácilmente accesible para ellas.
Una información que cumple solamente con este primer requisito se consideraría como Información Confidencial, cuya utilización y protección suele estar regulada bien por la organización, en sus políticas internas, o bien por medio de acuerdos o en el clausulado de contratos que la organización suscriba con terceras partes (empleados, clientes, proveedores, etc.). La divulgación no autorizada de información confidencial, aunque no sea considerada como secreto empresarial, no solo puede generar una mala imagen corporativa y conllevar a la pérdida de confianza en la organización por parte de sus clientes, sino también a cuantiosas sanciones económicas que pueden ser impuestas por la Agencia Española de Protección de Datos (AEPD) en caso de que dicha información confidencial incluya también datos personales.
Con el fin de distinguir un secreto empresarial de una mera información confidencial, el primer paso será garantizar que el carácter de secreto empresarial de una determinada información sea evidente para todas las partes, de que las personas que tengan acceso a dichos secretos conozcan de antemano este extremo y el nivel de diligencia que requiere su utilización, incluidas las consecuencias que podrían derivarse de su utilización o revelación ilícitas.
Segunda condición: Tener un valor empresarial, ya sea real o potencial, precisamente por ser secreto.
Pongamos el ejemplo de una startup que ha invertido tiempo y dinero en el desarrollo de un software de IA que ofrezca un servicio innovador a sus clientes, siendo este servicio la base de su modelo de negocio y principal fuente de ingresos.
Desde los datos de entrenamiento de dicho software hasta su código fuente y algoritmos de IA con los que funciona tendrán un valor empresarial real, incluso cuantificable económicamente. Ya no hablamos de mera información confidencial cuya filtración puede afectar a la reputación de la empresa, sino que hablamos de información como el know-how o cualquier otro activo protegible por derechos de propiedad intelectual e industrial que son clave para el éxito del negocio y cuya publicación, acceso o utilización por terceros no autorizados pueden acabar con la competitividad que presenta la empresa al perder su carácter diferenciable en el mercado.
Tercera condición: Haber sido objeto de medidas razonables por parte de su titular para mantenerlo en secreto.
Es clave que la empresa documente las evidencias que reflejen una verdadera preocupación por proteger la información considerada como secreto empresarial. No basta con conocer los riesgos y asumirlos, sino que también hay que planear su gestión futura, implementando las medidas técnicas y organizativas que sean necesarias para reducir el daño que podrían causar el negocio la obtención, utilización o revelación de un secreto empresarial.
Si bien no podemos ignorar la existencia de amenazas externas para la organización como los ciberataques, la realidad es los empleados siguen siendo la principal fuente de riesgo. La falta de implementación en la organización de unas correctas políticas en materia de seguridad de la información, así como la falta de concienciación a los empleados sobre las mismas pueden provocar que, inconscientemente, estos empleados abran la puerta a intrusiones externas que dejen a expuestos los secretos empresariales (falta de destrucción adecuada de la información, extravío de dispositivos USB, falta de diligencia en el uso de credenciales, enlaces maliciosos y phishing, etc.).
Tampoco se deben ignorar aquellas ocasiones en las que la violación de los secretos empresariales es producida de manera directa por los empleados que llevan a cabo copias y descargas no autorizadas de esta información para su propio uso o con la intención de facilitársela a un tercero, como por ejemplo un futuro empleador. La materialización de todos estos riesgos podría evitarse adoptando las garantías necesarias para su protección, las cuales pueden ser bien contractuales con respecto a las personas que tengan acceso a la información (por ejemplo, la firma de un Non-Disclosure Agreement con empleados) o bien técnicos (por ejemplo, la limitación de los privilegios para el acceso a determinadas bases de datos en función del perfil de la cuenta de usuario).
Una información que cumpla con estas tres condiciones entrará en el ámbito de protección de la Ley de Secretos Empresariales. Si quieres conocer los aspectos clave de la Ley de Secretos Empresariales, te lo contamos en el siguiente artículo: https://www.youandlaw.es/2019/03/27/nueva-ley-secretos-empresariales/