La seguridad de la información resulta un aspecto esencial para cualquier empresa. Las brechas de seguridad de los datos e información de cualquier empresa, sea cual sea la forma y manera en la que se produce (acción intencionada o no, interna o externa, informática o física), expone a la empresa a una serie de riesgos, que pueden provocar:
- Importantes pérdidas económicas.
- Un daño, incluso irremediable, de su imagen y reputación frente a terceros, con una pérdida de confianza tanto externa (“trust outside”) como interna (“trust inside”).
- La pérdida de información relevante.
- Que la información relevante acabe en manos de terceros ajenos a la empresa.
- Un efecto perjudicial en el mercado, en sus clientes y en la sociedad, en general.
- Los derivados del incumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Código Penal
En el Código Penal, el secreto de empresa viene protegido por los artículos 278, 279 y 280, incluidos en la sección 3ª (De los delitos relativos al mercado y a los consumidores), Capítulo XI del Título XIII (Delitos contra el Patrimonio y contra el Orden Socioeconómico).
Artículo 278
“1. El que, para descubrir un secreto de empresa se apoderare por cualquier medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos que se refieran al mismo, o empleare alguno de los medios o instrumentos señalados en el apartado 1 del artículo 197, será castigado con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses.
2. Se impondrá la pena de prisión de tres a cinco años y multa de doce a veinticuatro meses si se difundieren, revelaren o cedieren a terceros los secretos descubiertos.
3. Lo dispuesto en el presente artículo se entenderá sin perjuicio de las penas que pudieran corresponder por el apoderamiento o destrucción de los soportes informáticos”.
Por tanto, el artículo 278 del Código penal, conforme a la Sentencia del Tribunal Supremo nº 864/2008 de 16 de diciembre, sanciona un tipo de delito constituido por los elementos siguientes:
“
1º. La acción delictiva consiste alternativamente: a) en el apoderamiento por cualquier medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos; o b) el empleo de algunos de los medios o instrumentos del apartado 1 del art. 197 (…)[1].2º. Tal acción delictiva ha de tener por finalidad descubrir un secreto, esto es, algo que conocen una o varias personas que tiene o tienen interés en que no lo conozcan los demás, particularmente los que se dedican a la misma clase de actividad.
3º. Ha de tratarse de un secreto de empresa, concepto más amplio que el de secreto industrial al que se refería el art. 499 de la anterior CP, ya que abarca no solo los relativos a la técnica de los procedimientos de producción, sino también los relativos al comercio u organización del negocio de que se trate.
Conviene dejar dicho aquí que nos encontramos con un delito que puede cometer cualquier persona. No se trata de un delito especial propio que solo está al alcance de quienes reúnen determinadas características, como ocurre con el delito del art 279 al que luego nos referiremos. Ha de ser cometido por quien no conoce el secreto y trata de descubrirlo.
Es un delito de consumación anticipada. Basta la acción de apoderamiento dirigida a alcanzar ese descubrimiento. Conseguir el conocimiento del secreto pertenece a la fase posterior de agotamiento de la infracción. Incluso se comete, aunque no pueda después alcanzarse ese descubrimiento del secreto porque, por ejemplo, el autor del delito no puede llegar a descubrir las claves utilizadas por la empresa en defensa de tal secreto.
Su difusión, revelación o cesión a terceros constituye la figura agravada del art. 278.2.”.
Artículo 279
“La difusión, revelación o cesión de un secreto de empresa llevada a cabo por quien tuviere legal o contractualmente obligación de guardar reserva, se castigará con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses.
Si el secreto se utilizara en provecho propio, las penas se impondrán en su mitad inferior”.
La anterior Sentencia citada continúa señalando que el delito del artículo 279 “queda integrado por los elementos siguientes:
1º. Tiene por objeto también el llamado secreto de empresa en los términos que acabamos de exponer.
2º. El medio comisivo consiste en la difusión, revelación o cesión de tal secreto.
3º. Sujeto activo ha de ser quien tuviere legal o contractualmente obligación de guardar reserva, esto es, de mantener el secreto que él precisamente conoce porque su relación concreta con la empresa así lo exige. Se trata como ya se ha dicho, no de un delito común, como el del 278, sino de un delito especial propio (…).
En el párrafo 2 de este art. 279 se describe un subtipo atenuado (privilegiado), para los casos en que esa persona obligada a guardar el secreto lo utiliza en provecho propio. El beneficiarse solo a sí mismo en principio deja más reducida la posibilidad de la competencia ilícita, que en el caso de que se difunda más allá.
Artículo 280
“El que, con conocimiento de su origen ilícito, y sin haber tomado parte en su descubrimiento, realizare alguna de las conductas descritas en los dos artículos anteriores, será castigado con la pena de prisión de uno a tres años y multa de doce a veinticuatro meses”.
Y sigue la Sentencia referida señalando que el artículo 280 “penaliza de modo autónomo las conductas descritas en los dos artículos anteriores cuando han sido cometidas por un sujeto que ha de reunir una doble condición:
1ª. No haber tomado parte en el descubrimiento del secreto.
2ª. Actuar con conocimiento del origen ilícito de ese descubrimiento”.
¿Qué es secreto de empresa?
El Código Penal no define qué debemos entender por “secreto de empresa”[2]. En este sentido es muy reveladora la Sentencia del Tribunal Supremo nº 285/2008 de 12 de mayo, que señala que el Código Penal no define “secreto de empresa” por tratarse de “un concepto lábil, dinámico, no constreñible en un númerus clausus”, por lo que “habrá de ir a una concepción funcional-práctica, debiendo considerar secretos de empresa los propios de la actividad empresarial, que, de ser conocidos contra la voluntad de la empresa, pueden afectar a su capacidad competitiva”
Sigue diciendo la referida sentencia que “serán notas características:
- la confidencialidad (pues se quiere mantener bajo reserva),
- la exclusividad (en cuanto propio de una empresa),
- el valor económico (ventaja o rentabilidad económica),
- licitud (la actividad ha de ser legal para su protección)”.
Siendo su fundamento “la lealtad que deben guardar quienes conozcan el secreto, por su relación legal o contractual con la empresa, ya que el bien específicamente tutelado consistirá en la competencia leal entre las empresas”.
Su SS “contenido suele entenderse integrado, por los secretos de naturaleza técnico industrial (objeto o giro de empresa); los de orden comercial (como clientela, o marketing) y los organizativos (como las cuestiones laborales, de funcionamiento y planes de la empresa)” y[siguiente] [anterior] “su materialización puede producirse en todo género de soporte, tanto papel como electrónico, y tanto en original como copia, y aún por comunicación verbal. Y cabe incluir tanto cifras, como listados, partidas contables, organigramas, planos, memorandums internos, etc.”.
En cuanto a la duración temporal “de la obligación de guardar secreto se habrá de estar a la fuente del deber de reserva, esto es, a la norma o al contrato, según los casos”.
¿Cómo proteger los secretos de empresa?
Una forma de proteger los secretos de empresa es a través de un eficaz Programa de “Compliance”, ya que estos deben establecer medidas adecuadas y proporcionales (medidas relativas al personal laboral, medidas técnicas e informáticas, revisión periódica pormenorizada de todos los sistemas, procesos y actividades comerciales y de negocio, etc) y estar destinados e implementados para prevenir, no sólo incumplimientos normativos, o más concretamente, la comisión de delitos de los que la empresa pueda ser responsable, sino también, para prevenir y, en su caso, detectar, hechos por los cuales la empresa esté siendo víctima de comportamientos ilícitos, en este caso, de fuga de información, robo, pérdida, etc, de “secretos de empresa”.
[1] “El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación (…)”
[2] Sentencia nº14/2012, de 20 de enero de la Audiencia Provincial de Barcelona, en el ámbito mercantil, señalaba. “A falta de una norma específica en la Ley de Competencia Desleal que defina qué debe entenderse por secreto empresarial, a los efectos del art. 13 LCD, debemos acudir al art. 39.2. a) y b) del Acuerdo sobre Aspectos de los Derechos de Propiedad Intelectual relacionados con el Comercio (ADPIC; BOE de 24 de enero de 1995). Conforme a este precepto, para garantizar una protección eficaz contra la competencia desleal respecto de aquella información no divulgada que esté legítimamente bajo el control de las personas físicas o jurídicas, impidiendo que se divulgue a terceros o que sea utilizada por terceros sin su consentimiento, de manera contraria a los usos honestos, es preciso que: i) sea secreta, en el sentido de que no sea conocida ni fácilmente accesible para personas introducidas en los círculos en que normalmente se utiliza el tipo de información en cuestión; ii) tenga un valor comercial por ser secreta; y iii) haya sido objeto de medidas razonables, en las circunstancias, para mantenerla secreta, tomadas por la persona que legítimamente la controla”.
