Ley de secretos empresariales

La ley de secretos empresariales y la privacidad.

La ley de secretos empresariales permite a las empresas, usando criterios conocidos ya en la política de privacidad, proteger su información más sensible.

Hace unos meses, concretamente en febrero, se aprobó la Ley 1/2019 de 20 de febrero en la que se regulaba por fin un aspecto de la gestión de las empresas que siempre había quedado algo descuidada: la protección de la información empresarial.

Hasta este momento, la información confidencial en las empresas se había tratado siempre desde el aspecto de los acuerdos y compromisos de confidencialidad, pero falta un marco regulador concreto, y en este caso, con rango de ley para clarificar que es la información confidencial en las empresas y como tratarla.

Como bien indica el artículo 1 de la ley, es interesante definir antes de nada, que constituye un secreto empresarial:

Artículo 1.

1. Objeto.

El objeto de la presente ley es la protección de los secretos empresariales. A efectos de esta ley, se considera secreto empresarial cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero, que reúna las siguientes condiciones:

a) Ser secreto, en el sentido de que, en su conjunto o en la configuración y reunión precisas de sus componentes, no es generalmente conocido por las personas pertenecientes a los círculos en que normalmente se utilice el tipo de información o conocimiento en cuestión, ni fácilmente accesible para ellas;

b) tener un valor empresarial, ya sea real o potencial, precisamente por ser secreto, y

c) haber sido objeto de medidas razonables por parte de su titular para mantenerlo en secreto.

Es decir, la norma busca proteger toda aquella información sensible que las empresas gestionan, tanto la información puramente técnica, modelos de negocio como información de clientes y/o proveedores.

Una buena norma para poder gestionar esta información, sería basarse en los criterios que la normativa en materia de privacidad, tanto la LOPDGDD como el RGPD, determinan en cuanto al tratamiento de datos personales y que podrían usarse para administrar la información confidencial dentro de las empresas.

Vamos a ver cuales serian estos criterios:

  • Clasificación de la información. Sin un inventario claro y bien definido, es imposible determinar que información se considerara confidencial y como hemos de protegerla.
  • Determinar quien debe o puede acceder a la información, restringiendo el acceso de forma física (armarios, almacenes, etc) o lógica (aplicaciones, bases de datos, etc).
  • Definir una adecuada gestión de los soportes que contienen esa información y como se, si es necesario, traslada esa información si que sufra ningún riesgo.
  • Cuando el acceso a la información se realice a través de aplicaciones informática (o de cualquier tipo en realidad), una buena y documentada política, facilitará las cosas a la hora de controlar quien accede a que.
  • El cifrado de la información es una herramienta básica para proteger esta información, así como la identificación y clasificación de los proveedores que puedan gestionar esta información.
  • A pesar de la existencia de la ley, no hay que dejar de lado la firma de los correspondientes acuerdos de confidencialidad con todos los implicados en la gestión de esta información.
  • Como ninguna entidad está exenta de riesgos, una buena política de backups se revela fundamental para gestionar la información confidencial de la empresa.
  • Es fundamental que las empresas regulen y controlen la comunicación de esta información. Lo hemos apuntado antes, respecto al traslado de la misma, pero esto tiene más importancia aún cuando hablamos de redes telemáticas.
  • La formación al personal, determinando criterios de como debería tratarse la información confidencial e identificando claramente cual es, es fundamental.

Como se puede ver, la gestión de la información confidencial, no difiere de la gestión que podemos hacer en cualquier empresa de los datos personales de clientes, proveedores y trabajadores. Por tanto no hay excusas para poner en marcha un plan que nos ayude a identificar esa información crítica para nuestro negocio y protegerla.

Photo by stevendepolo on Foter.com / CC BY

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.