Secretos Empresariales: Proteja el Know-How que Sus Competidores Quieren

El secreto empresarial es toda información o conocimiento secreto que tiene valor empresarial derivado precisamente de su condición de secreto y sobre el que se han adoptado medidas razonables para mantenerlo así, conforme a la definición del artículo 1 de la Ley 1/2019 de Secretos Empresariales, que transpone la Directiva UE 2016/943. Para que exista protección legal, deben concurrir acumulativamente tres elementos: la información debe ser secreta (no conocida ni fácilmente accesible en el sector), debe tener valor empresarial por su condición de secreta, y el titular debe haber adoptado medidas razonables para mantenerla en secreto — acuerdos de confidencialidad, controles de acceso, clasificación de información. La apropiación indebida de un secreto empresarial genera responsabilidad civil (art. 9 Ley 1/2019: cesación, decomiso, indemnización) y puede constituir delito de revelación de secretos bajo los artículos 278 a 280 del Código Penal cuando media ánimo de beneficio propio o de causar perjuicio al titular.

El know-how de una empresa — sus procesos, sus datos de clientes, su código fuente, sus fórmulas — puede ser el activo más valioso de su balance, y también el más expuesto si no se protege activamente.

Por qué el secreto empresarial supera a la patente para muchos activos intangibles

La patente es la figura de propiedad industrial por excelencia para las invenciones técnicas: otorga un monopolio de explotación durante 20 años a cambio de la divulgación pública de la invención. El secreto empresarial es la alternativa cuando la empresa quiere proteger su ventaja competitiva sin revelarla al público.

La elección entre patente y secreto empresarial es una decisión estratégica con implicaciones a largo plazo. La patente garantiza protección frente a la ingeniería inversa: si alguien reconstruye la invención por sus propios medios, la patente lo cubre igualmente. El secreto empresarial no protege frente a la ingeniería inversa legítima, pero puede durar indefinidamente — tanto como la empresa mantenga las medidas de protección adecuadas.

La fórmula del Coca-Cola es el ejemplo más citado: más de 130 años de protección sin revelación ni expiración. Ninguna patente puede ofrecer eso. Para muchos activos intangibles — procesos de fabricación optimizados, algoritmos propietarios, estrategias comerciales, bases de datos de clientes — el secreto empresarial es la protección más efectiva disponible.

Las medidas razonables: el requisito que determina si la ley protege o no

El error más frecuente de las empresas en materia de secretos empresariales es asumir que la información confidencial está automáticamente protegida por el mero hecho de ser valiosa o de estar en sus servidores. No lo está.

La Ley 1/2019 exige, como tercer requisito de protección, que el titular haya adoptado medidas razonables para mantener el secreto. Sin esas medidas documentadas, aunque la información sea claramente secreta y tenga un valor enorme, el tribunal puede concluir que no existe secreto empresarial en el sentido legal y que no hay protección aplicable.

¿Qué son medidas razonables? La ley no proporciona una lista, pero la jurisprudencia española y europea ha identificado los elementos habituales: acuerdos de confidencialidad con todos los empleados y terceros con acceso a la información, restricciones técnicas de acceso proporcionales a la importancia del secreto, clasificación formal de la información como confidencial, políticas internas de manejo de información sensible, y formación a los empleados sobre sus obligaciones de confidencialidad.

La clave es la proporcionalidad y la coherencia: las medidas deben ser adecuadas a la importancia del secreto y deben aplicarse de forma consistente. Una empresa que firma NDA con algunos empleados pero no con otros, o que protege con contraseña ciertos documentos pero deja otros accesibles libremente, puede tener dificultades para demostrar que ha tomado medidas razonables respecto a la información que no protegió de forma coherente.

La apropiación indebida y las acciones disponibles

La apropiación indebida de un secreto empresarial puede producirse de múltiples formas: acceso no autorizado a sistemas de información, obtención mediante incumplimiento de un deber de confidencialidad contractual, obtención a través de la inducción a la traición de quien tiene acceso legítimo, o uso de un secreto sabiendo que fue obtenido ilícitamente.

El artículo 9 de la Ley 1/2019 otorga al titular del secreto un amplio catálogo de acciones civiles: declaración de la infracción, cese de los actos infractores, prohibición de fabricar o comercializar productos que incorporen el secreto, decomiso y destrucción de los bienes infractores, indemnización de los daños y perjuicios sufridos (incluyendo el lucro cesante, los beneficios del infractor y el daño moral), y publicación de la sentencia.

Para los casos en que la urgencia es máxima — cuando el infractor va a usar el secreto de forma inminente o ya lo está usando — el titular puede solicitar medidas cautelares urgentes al amparo del artículo 11 de la ley: estas medidas pueden obtenerse incluso antes de que la demanda principal sea admitida y pueden prohibir el uso del secreto antes de que el tribunal resuelva sobre el fondo.

La conexión entre secretos empresariales y protección de datos es relevante cuando la información que se quiere proteger incluye datos personales de clientes o empleados: en ese caso, las medidas de protección del secreto empresarial deben coordinarse con las medidas de seguridad exigidas por el RGPD. Los diseños industriales y la propiedad intelectual completan el sistema de protección de activos intangibles junto con el secreto empresarial, para una cobertura integral del portafolio de activos estratégicos de la empresa.

Resultados que puede esperar

• Mapa de secretos empresariales documentado con evaluación del nivel de protección actual
• Sistema de medidas razonables de protección implementado y coherente
• NDA y cláusulas de no competencia adaptados a los diferentes niveles de acceso a la información
• Respuesta jurídica rápida ante detección de apropiación indebida, incluyendo medidas cautelares
• Coordinación entre la protección del secreto empresarial y el cumplimiento del RGPD

Marco regulador: Ley 1/2019 y Directiva UE 2016/943

La Ley 1/2019, de 20 de febrero, de Secretos Empresariales transpone la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados. La Ley unifica y moderniza el régimen de protección del secreto empresarial en España, que antes se fragmentaba entre la Ley de Competencia Desleal y el Código Penal.

Los elementos constitutivos del secreto empresarial (artículo 1 Ley 1/2019) son tres y deben concurrir acumulativamente:

1. Carácter secreto: La información no debe ser, en su conjunto o en la configuración y reunión precisa de sus componentes, generalmente conocida ni fácilmente accesible para las personas pertenecientes a los círculos empresariales en que normalmente se utiliza dicho tipo de información.
2. Valor empresarial derivado de su secreto: La información debe tener valor empresarial, real o potencial, precisamente por ser secreta.
3. Medidas razonables para mantenerla en secreto: El titular debe haber adoptado medidas razonables y proporcionales para mantener la información en secreto.

El artículo 2 de la Ley establece qué se considera apropiación indebida: (a) acceso no autorizado a documentos, objetos u otros materiales que contengan el secreto; (b) copia no autorizada; (c) comportamiento contrario a las prácticas comerciales leales que implique obtención del secreto. El artículo 3 fija las excepciones al concepto de apropiación indebida: ingeniería inversa legítima, descubrimiento independiente y ejercicio del derecho de información y consulta de los representantes de los trabajadores.

Los artículos 278 a 280 del Código Penal tipifican el delito de revelación de secretos empresariales, con penas de prisión de 2 a 4 años para el apoderamiento por cualquier medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos que se refieran al secreto de empresa, con agravación cuando se difunden, revelan o ceden a terceros.

Procedimiento para defender un secreto empresarial: plazos y acciones

La defensa de un secreto empresarial ante apropiación indebida combina medidas cautelares urgentes y acciones de fondo con plazos diferenciados:

La competencia exclusiva para conocer de los litigios de secretos empresariales corresponde a los Juzgados de lo Mercantil, conforme a lo establecido en el artículo 86 ter LOPJ, modificado para incluir expresamente las acciones derivadas de la Ley 1/2019. En España, los Juzgados de lo Mercantil de Madrid y Barcelona concentran la mayor parte de la litigación especializada en esta materia.

Juzgado competente en Madrid, Barcelona y Málaga

En Madrid, los Juzgados de lo Mercantil (actualmente 13 juzgados en la sede del Paseo de la Castellana) conocen de las reclamaciones por apropiación indebida de secretos empresariales. En Barcelona (4 Juzgados de lo Mercantil) se radica la segunda plaza en volumen de litigación de propiedad industrial e intelectual. En Málaga (3 Juzgados de lo Mercantil), el volumen es menor pero la especialización creciente.

La elección del juzgado puede basarse en el lugar del domicilio del demandado, el lugar donde se haya producido el hecho dañoso o el lugar donde se encuentren los efectos del acto ilícito (artículo 13 Ley 1/2019). Para las medidas cautelares, el juez del lugar de ejecución de la medida es competente incluso si no lo es para el fondo.

Caso práctico: exempleado que se lleva la base de datos de clientes

Una empresa de distribución industrial descubre que un director comercial que acaba de ser despedido ha enviado a su correo personal, el día antes de su salida, la base de datos completa de clientes (3.800 empresas con contactos, historial de compras y condiciones de precios negociadas). Esa base de datos representa cinco años de trabajo comercial y es la información más sensible de la empresa.

BMC actúa en cuatro frentes simultáneos en las primeras 48 horas:

Primero, análisis de los NDA y cláusulas de confidencialidad del contrato de trabajo: el director había firmado un NDA con cláusula de no competencia de 18 meses y obligación expresa de confidencialidad sobre las listas de clientes. La empresa había clasificado la información como confidencial y con acceso restringido por cargo.

Segundo, solicitud de medidas cautelares urgentes al Juzgado de lo Mercantil de Madrid: requerimiento al exempleado de cese inmediato del uso de la información, prohibición de facilitar la información a terceros y entrega de todos los soportes donde figure la base de datos. El juez otorga la medida cautelar en 48 horas.

Tercero, presentación de denuncia penal por delito de revelación de secretos (artículo 278 CP) ante el Juzgado de Instrucción: la denuncia incluye los logs del sistema que acreditan el envío masivo de ficheros al correo personal.

Cuarto, identificación de la empresa a la que se ha incorporado el exempleado y análisis de si hay indicios de uso de la información: si se detecta que la nueva empresa está contactando a los clientes de la lista con oferta de precios que reflejan el conocimiento de las condiciones negociadas, se amplía la demanda para incluir a la empresa como codemandada por el artículo 2.c Ley 1/2019 (comportamiento contrario a prácticas comerciales leales).

Resultado: la empresa obtiene una indemnización equivalente al margen de los clientes captados por la competencia durante los 8 meses del litigio, más el lucro cesante estimado. La clave fue disponer de los NDA firmados, los logs del sistema y la clasificación documental de la información como confidencial.

Cinco errores comunes que BMC corrige

Error 1: No documentar las medidas de protección. La empresa sabe que su información es confidencial, pero nunca ha puesto por escrito qué datos son secreto empresarial, quién tiene acceso y bajo qué condiciones. Sin documentación, un tribunal puede concluir que no se han adoptado medidas razonables y denegar la protección de la Ley 1/2019.

Error 2: NDA genéricos que no identifican concretamente qué información es secreta. Un NDA que dice “toda la información de la empresa es confidencial” es menos eficaz jurídicamente que uno que describe con precisión las categorías de información protegida: listas de clientes, condiciones comerciales, algoritmos de pricing, procesos de fabricación específicos.

Error 3: No extender el NDA a los proveedores y colaboradores externos. Los empleados tienen NDA, pero los consultores externos, los proveedores tecnológicos y los socios comerciales que acceden a información sensible no han firmado nada. Son igual de peligrosos como fuente de filtraciones.

Error 4: No tener logs de acceso a los sistemas. Cuando se produce una apropiación indebida, la prueba más sólida son los registros de acceso del sistema informático que muestran quién accedió a qué información y cuándo. Sin logs, la empresa tiene que probar la apropiación por otros medios mucho más costosos e inciertos.

Error 5: Reaccionar tarde. La apropiación indebida de secretos empresariales tiene efectos irreversibles a partir del momento en que la información llega a la competencia. Las medidas cautelares son eficaces cuando se solicitan en los primeros días; un mes después, el daño ya está hecho y la indemnización solo compensa parcialmente.

Fuentes y Marco Normativo

• BOE - Ley 1/2019 de Secretos Empresariales
• Directiva UE 2016/943 sobre protección de conocimientos técnicos secretos
• Código Penal español, arts. 278-280 (revelación de secretos)
• CGPJ — Juzgados de lo Mercantil

Cinco preguntas que hacen nuestros clientes antes de contratar

¿Qué diferencia un secreto empresarial de la experiencia profesional del trabajador?

Es la distinción más delicada en litigios de secretos empresariales y la que más debate genera en los tribunales españoles. La Ley 1/2019 protege la información específica y documentada de la empresa (fórmulas, bases de datos, listas de clientes con historial de precios, algoritmos propietarios), pero no la experiencia, los conocimientos y las habilidades adquiridas por el trabajador durante su relación laboral. Un comercial puede usar su know-how general de ventas en un sector; no puede usar la lista de precios de la empresa con cada cliente. BMC ayuda a documentar y clasificar qué información concreta merece protección y a diseñar contratos y medidas técnicas que marquen claramente la frontera.

¿Las cláusulas de no competencia post-contractual del art. 21 ET son suficientes?

No siempre. Las cláusulas de no competencia post-contractual (art. 21 ET) tienen límites claros: duración máxima de 2 años para técnicos y 6 meses para el resto, necesidad de compensación económica adecuada, y exigibilidad condicionada a que la empresa tenga un efectivo interés industrial o comercial. Su incumplimiento genera una acción laboral, no mercantil. Los secretos empresariales ofrecen una capa de protección adicional e independiente: aunque la cláusula de no competencia haya expirado, la información que cumple los requisitos de la Ley 1/2019 sigue protegida indefinidamente mientras se mantenga secreta. BMC diseña una estrategia de protección combinada que usa ambas herramientas de forma complementaria.

¿Qué ocurre si el secreto lo conoce también un proveedor o socio tecnológico común?

El hecho de que un tercero (proveedor, socio, licenciatario) conozca la información no destruye su carácter de secreto, siempre que ese tercero también esté sujeto a obligaciones de confidencialidad. BMC revisa los contratos con proveedores y socios para garantizar que incluyen cláusulas de confidencialidad adecuadas, obligaciones de uso limitado y mecanismos de control de acceso. Una cadena de obligaciones contractuales bien diseñada permite proteger la información incluso cuando circula entre múltiples actores del ecosistema empresarial.

¿Los algoritmos de inteligencia artificial o los modelos de machine learning son secretos empresariales?

Sí, pueden serlo. Un modelo de ML entrenado con datos propietarios, cuya arquitectura y parámetros no son públicos y cuyo rendimiento supera al mercado, cumple los tres requisitos de la Ley 1/2019: secreto, valor comercial y medidas de protección. La protección como secreto empresarial es compatible con (y frecuentemente complementaria a) la protección por derechos de autor del código fuente y la protección por patente de los métodos técnicos subyacentes. BMC diseña estrategias de protección IP para activos de IA que combinan todas las herramientas disponibles.

¿Cuál es el plazo de prescripción para reclamar por apropiación de secretos empresariales?

La acción para reclamar por violación de secretos empresariales prescribe a los 3 años desde que el titular tuvo conocimiento del infractor y de la violación (art. 23 Ley 1/2019). Es fundamental documentar el momento en que se detecta la violación: un correo electrónico de alerta, un informe de auditoría, una comunicación interna. A partir de ese momento, el plazo corre. En ningún caso puede ejercitarse la acción transcurridos 5 años desde que se cometió la violación. BMC recomienda actuar dentro de los 30 días desde la detección para preservar las mejores opciones de medida cautelar.

Integración con otros servicios BMC

La protección de secretos empresariales se enmarca en una estrategia de propiedad intelectual e industrial más amplia:

Propiedad intelectual e industrial. Los secretos empresariales son uno de los cuatro pilares de la estrategia IP de una empresa, junto con las patentes, las marcas y los derechos de autor. BMC elabora un mapa de activos intangibles que identifica qué información merece protección por cada vía y diseña la estrategia de protección combinada más eficiente en términos de coste y cobertura.

Protección de datos y ciberseguridad. Las medidas técnicas de protección de secretos empresariales (DLP, control de accesos, registros de log, cifrado) son las mismas que se exigen para el cumplimiento del RGPD en materia de seguridad del tratamiento (art. 32 RGPD). BMC diseña soluciones que dan cobertura simultánea a ambas obligaciones, evitando duplicar proyectos e inversiones.

Compliance laboral. Los protocolos de baja de empleados con acceso a información sensible, los procedimientos de devolución de dispositivos y las revisiones de acceso post-baja son medidas preventivas de cumplimiento laboral que también protegen los secretos empresariales. BMC integra estos procedimientos en el programa de compliance laboral de la empresa.

Métricas de éxito de nuestros encargos

Proceso de trabajo de BMC: del diagnóstico de exposición al programa de protección

La protección de secretos empresariales requiere un enfoque sistemático que va más allá de la firma de NDAs. BMC estructura el encargo en tres fases:

Fase 1: Diagnóstico de exposición (2-3 semanas). Identificamos qué información de la empresa cumple los tres requisitos de la Ley 1/2019 para ser considerada secreto empresarial: carácter secreto, valor comercial y medidas de protección existentes. Este inventario frecuentemente revela que la empresa tiene información valiosa sin proteger adecuadamente (bases de datos de clientes con historial de precios, metodologías de trabajo, algoritmos de pricing) y que otras informaciones que la empresa creía protegidas no cumplen en realidad los requisitos legales. El diagnóstico determina la exposición real y prioriza los activos que requieren protección inmediata.

Fase 2: Diseño e implantación del programa de protección (4-8 semanas). Para cada activo identificado como secreto empresarial, diseñamos el conjunto de medidas técnicas y organizativas que acreditan la voluntad de mantenerlo secreto: clasificación documental, controles de acceso por roles, registro de accesos, cláusulas contractuales específicas en contratos con empleados y terceros, y procedimientos de baja de empleados con acceso a información sensible. Las medidas deben ser proporcionales al valor del secreto: no tiene sentido aplicar el mismo nivel de protección a la lista de precios que al algoritmo central del negocio.

Fase 3: Respuesta a incidentes. Si se detecta una violación o amenaza inminente de violación, BMC activa el protocolo de respuesta: análisis forense preliminar para identificar el alcance y documentar las evidencias, evaluación de opciones de acción (medida cautelar judicial, requerimiento extrajudicial, denuncia penal por arts. 278-280 CP), y ejecución de la opción seleccionada. La velocidad de respuesta es crítica: las medidas cautelares son más efectivas cuando se solicitan antes de que el infractor pueda trasladar la información o usarla para obtener ventaja competitiva irreversible.