Por: César Durand Espejo, asociado del Estudio Echecopar Asociado a Baker & McKenzie Internacional, especializado en libre competencia, competencia desleal, protección al consumidor, protección de datos personales y corporate compliance.

Uno de los principales retos que enfrentan actualmente las empresas es asegurar que sus secretos empresariales[1] se encuentren debidamente resguardados ante posibles filtraciones e intromisiones por parte de sujetos que pretenden menoscabar su posición competitiva en el mercado mediante la divulgación, explotación o adquisición ilegítima de dichos conocimientos. Esta tarea se torna aún más compleja en un contexto donde la tecnología ha permitido el desarrollo de herramientas cada vez más sofisticadas para poder obtenerlos ilegítimamente.

Una reciente encuesta revela que el 73% de empresas, a nivel de Latinoamérica, clasifica el riesgo cibernético entre sus cinco principales preocupaciones[2]. Ante ello, muchas de estas buscan contrarrestar dicho riesgo enfocando sus inversiones en la implementación de sofisticados sistemas de seguridad informática. Si bien estas herramientas tecnológicas son sumamente valiosas para proteger los secretos empresariales ante posibles ataques cibernéticos de terceros, lo cierto es que no se logrará un sistema de protección completo si es que no se realizan esfuerzos por involucrar a todos los miembros de la organización en esta tarea, la cual, ciertamente, no es exclusiva de las áreas de seguridad de la información o TI[3].

Según un interesante reporte de investigación publicado por Baker McKenzie y Euromoney[4], un 52% de empresas temen que sus empleados o ex empleados sean quienes originen un caso de robo de secretos empresariales, frente a solamente un 12% que consideran podría originarse por delincuentes cibernéticos o piratas informáticos. Este no se trata de un dato menor pues revela que, mientras las empresas se sentirían en mejor posición para proteger sus secretos empresariales de ataques cibernéticos externos -posiblemente porque confían en sus sistemas de ciberseguridad-, no tendrían esa misma sensación si dicho ataque proviniera de agentes que forman parte de su misma organización.

Lo señalado pone en relieve que no basta que una empresa cuente con sistemas informáticos para mantener adecuadamente protegidos sus secretos empresariales, sino que es necesario complementar estos esfuerzos con otros mecanismos de gestión, relacionados principalmente con aspectos de organizacionales y hasta de compliance. En efecto, hay quienes señalan que la protección de los secretos empresariales debe ser reconocido también como un asunto de compliance, pues una situación de robo o pérdida de dichos conocimientos puede generar potenciales implicancias de carácter financiero, legal y reputacional para la organización[5].

Si bien todavía, en nuestro país, existe la percepción de que los programas de compliance abordan, principalmente, la prevención de la corrupción u otros delitos[6], lo cierto es la aplicación de estos programas o modelos no es incompatible con el propósito de proteger los secretos empresariales de la organización[7]. Muy por el contrario, las buenas prácticas de compliance pueden contribuir poderosamente a mejorar el control sobre los riesgos de que se materialice una amenaza contra un secreto empresarial por parte de un colaborador o ex colaborador de la organización.

Siendo ello así, a continuación, desarrollaremos brevemente algunas de estas mejores prácticas:

1. Identifica tus secretos empresariales y clasifícalos en función a su importancia: 

Los secretos empresariales pueden consistir en información reservada o confidencial de diversa gama; por ejemplo, procesos, diseños de productos, recetas, metodologías, planes, datos, software. Siendo ello así, es necesario que la empresa identifique qué tipo de conocimientos considera pueden calificar como secretos empresariales.

Aunque la calificación de una determinada información privada como secreto empresarial depende del cumplimiento de ciertos requisitos legales[8], es importante que la empresa tenga, por lo menos, un claro entendimiento de qué conocimientos podrían tener esta condición.

A tal efecto, puede ser de suma utilidad elaborar, por cada nivel o departamento de la empresa, un listado o inventario de los secretos empresariales. Este listado no debe describir con mucho detalle sobre cuál es el contenido de esta información empresarial privada, pero sí debería poderse identificar cuál es su tipología, qué área de la empresa custodia el mismo, qué funcionarios o colaboradores tienen o han tenido acceso al mismo, qué medidas de protección y seguridad han recibido (de ser el caso) y su vigencia (si la tiene).

Este ejercicio permitirá a la empresa, además, poder evidenciar ante las autoridades la titularidad sobre sus secretos empresariales, aspecto que es esencial en el contexto de un eventual procedimiento ante INDECOPI[9].

Aunado a dicha descripción general, la empresa deberá clasificar estos secretos empresariales en función a su nivel de importancia, pudiendo utilizar categorías como «bajo», «medio» y «alto». A tal efecto, un indicador que puede ser utilizado es cuál es el valor de la(s) ventaja(s) competitiva(s) que pueden reportar dichos conocimientos secretos. Si bien puede resultar difícil utilizar criterios cuantitativos (por ejemplo, la asignación de un valor monetario) por tratarse de bienes intangibles, también es posible utilizar criterios cualitativos. Por ejemplo, si se trata de una receta sobre el único producto que comercializa la empresa y de cuyas ventas depende sus ingresos, entonces el nivel de importancia que tendrá el secreto empresarial será alto.

Efectuar este ejercicio de identificación y, principalmente, de clasificación permitirá a la empresa priorizar esfuerzos y reforzar las medidas de protección sobre aquellos secretos empresariales que tengan un alto valor para la organización, sin que ello signifique dejar desprotegidos a los demás.

2. Complementa tus sistemas de seguridad con otras medidas:

Según el artículo 40 del Decreto Legislativo N° 1044, un secreto empresarial califica como tal si es que su titular o quienes tengan acceso al mismo posee un interés consciente de mantenerlo reservado mediante la adopción de medidas razonables e idóneas para mantenerla fuera del alcance de terceros no autorizados.

Esta norma no especifica qué tipo de medidas debieran adoptar las empresas. No obstante, a través de reiterada jurisprudencia[10], el INDECOPI ha señalado que estas medidas razonables pueden ser de diversa índole. Desde luego, estas medidas comprenden controles de carácter técnico que implican, por ejemplo, encriptación de datos, limitaciones de accesos a través de sistemas digitales o utilización de contraseñas; sin embargo, también se reconoce la necesidad de implementar otro tipo de medidas que también coadyuven a la protección de los secretos empresariales.

Por un lado, se encuentran las medidas de carácter legal, las cuales pueden comprender la incorporación, en los contratos de trabajo o en el Reglamento Interno de Trabajo de la empresa (de contar con este), de cláusulas que regulen la obligación de confidencialidad sobre dichos conocimientos secretos. Estas mismas cláusulas también debieran insertarse en los contratos que la empresa celebre con proveedores o socios comerciales que puedan tener acceso a los secretos empresariales de su titularidad[11].

De otro lado, también se tienen las medidas organizacionales. Así, por ejemplo, es deseable que la compañía cuente con políticas y protocolos que establezcan deberes y obligaciones que deben cumplir los empleados de las distintas áreas de la organización con relación a la protección de secretos empresariales.

Estas políticas deberían contener una indicación clara respecto a qué se encuentra prohibido que los colaboradores divulguen a terceros o utilicen en provecho propio los secretos empresariales de titularidad de la empresa. Asimismo, se sugiere implementar reglas y procedimientos internos para minimizar la reproducción o compartición innecesaria de secretos empresariales al interior de la organización. Ello, con el fin de poder evitar posibles filtraciones o uso indebido de esta información que puedan colocar a la empresa en una posición crítica.

Como mencionábamos, la intensidad de las medidas aplicables puede variar dependiendo del nivel de importancia asignado al secreto empresarial.

3. Difunde tus políticas y capacita a tu personal:

Una de las formas más efectivas de poder evitar la «filtración» de secretos empresariales es poner en conocimiento de todos los directivos y colaboradores de la empresa (por ejemplo, a través de comunicados o recordatorios) sobre las políticas, procedimientos, controles y medidas implementadas para proteger los secretos empresariales de su titularidad. Es muy importante que conozcan también sobre el impacto que una posible divulgación, explotación o adquisición ilegítima por parte de terceros puede ocasionar sobre el funcionamiento y sostenibilidad de la organización.

Cabe señalar que no basta con que los miembros de la organización conozcan sobre dichas herramientas, sino que es indispensable que las comprendan adecuadamente y sepan emplearlas. A tal efecto, la realización de capacitaciones especializadas al personal es una actividad sumamente útil, no solo para generar el suficiente «awareness» con relación a la importancia de los secretos empresariales (y, así, desmotivar posibles filtraciones), sino también conocer cuáles son las principales preocupaciones e inquietudes de los colaboradores con relación a este tema.

Las acciones de difusión y capacitación pueden ser diferenciadas, por ejemplo, tratándose de empleados de áreas sensibles de la empresa en tanto tengan acceso y manejen secretos empresariales.

4. Diseña un plan de acción en caso ocurra un incidente:

Considerando el hecho de que un secreto empresarial tiene valor en tanto se mantenga su carácter reservado y confidencial, la ocurrencia de un incidente que implique la divulgación, explotación o adquisición ilegítima de dicho conocimiento, por parte de un tercero, puede ser nefasta para la empresa. En ese sentido, es una buena práctica elaborar un plan que comprenda y describa todas las acciones que adoptará la empresa, desde que toma conocimiento del incidente hasta la implementación de medidas correctivas y reparación.

Este plan de acción debería comprender las etapas de investigación que debe seguir la empresa para conocer las causas que originaron el incidente, lo cual puede incluir la realización de entrevistas a los supuestos implicados, la recopilación de evidencias, el análisis sobre la posibilidad de desvincularlos de la empresa, entre otros.

Estas recomendaciones pueden ayudar a la empresa a mejorar sus mecanismos de protección de sus secretos empresariales, salvaguardándolos tanto de posibles ataques cibernéticos, como de filtraciones internas.


[1] Los secretos empresariales son cualquier información no divulgada poseída legítimamente por una persona natural o jurídica, que puede ser utilizada en alguna actividad productiva, industrial o comercial o que, en general, sea concerniente a cualquiera de los distintos ámbitos de la actividad empresarial.

[2] Encuesta de Percepción del Riesgo Cibernético en Latinoamérica 2019, elaborada por Marsh y Microsoft Corp.

[3] Según la referida encuesta, un 88% de empresas señalar que los principales responsables de la gestión del riesgo cibernético son las áreas de seguridad de la información o TI.

[4] «The Board Ultimatum: Protect and Preserve. The Rising Importance of Safeguarding Trade Secrets», publicado en 2017 por la firma Baker McKenzie y Euromoney Intstitutional Investor Thought Leadership.

[5] La publicación «Best Practices for Trade Secret Protection in 2019» de Baker McKenzie refiere que es una buena práctica: «Develop a company culture that embraces trade secret protection at all levels of the organization, and across all company departments. Trade secret protection must be recognized as a compliance issue, with potentially serious reputational, financial, and legal implications«.

[6] Ello, posiblemente, raíz de la entrada en vigencia de la Ley N° 30424, Ley que regula la responsabilidad administrativa de las personas jurídicas, la cual regula, como un aspecto novedoso en nuestro ordenamiento jurídico, el contenido y efectos de los programas de compliance o, como los denomina la norma, modelos de prevención.

[7] Es más, actualmente existe la tendencia de extender los alcances de los modelos de prevención para abarcar otros temas como libre competencia, protección de datos personales, derechos humanos, entre otros, dependiendo del contexto donde opera la empresa y sus principales áreas de riesgo.

[8] Según el artículo 40 del Decreto Legislativo N° 1044, Ley de Represión de la Competencia Desleal, un secreto empresarial califica como tal si dicha información:

  1. Se trate de un conocimiento que tenga carácter de reservado o privado sobre un objeto determinado;
  2. Que quienes tengan acceso a dicho conocimiento posean voluntad e interés consciente de mantenerlo reservado, adoptando las medidas necesarias para mantener dicha información como tal; y,
  3. Que la información tenga un valor comercial, efectivo o potencial.

[9] El INDECOPI, a través de la Comisión de Fiscalización de la Competencia Desleal, es la autoridad competente para sancionar los actos de violación de secretos empresariales tipificado en el artículo 13 del Decreto Legislativo N° 1044.

[10] Entre los casos más recientes, véase la Resolución N° 177-2018/SDC-INDECOPI, Resolución N° 065-2018/SDC-INDECOPI y Resolución N° 169-2018/SDC-INDECOPI.

[11] Según jurisprudencia del INDECOPI (véase, por ejemplo, la Resolución N° 296-2011/SC1), esta cláusula de confidencialidad debería indicar, por lo menos, la tipología específica de información sobre la cual el obligado debe guardar reserva. De lo contrario, no se podría evidenciar la intención del titular de la misma de mantenerla en régimen de confidencialidad.

Fuente de la imagen: CPO Magazine

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí