El contrato de confidencialidad —conocido internacionalmente como Non-Disclosure Agreement o NDA— es el instrumento jurídico mediante el cual una o varias partes se obligan a no divulgar información que les haya sido confiada en el marco de una relación comercial, negociación o colaboración. En España, su eficacia jurídica descansa sobre dos pilares: el régimen general de los contratos del Código Civil (artículos 1254 a 1258) y, desde marzo de 2019, el régimen específico de la Ley 1/2019, de 20 de febrero, de Secretos Empresariales.
Marco normativo: Ley 1/2019 y su relación con el NDA
La Ley 1/2019 transpone la Directiva (UE) 2016/943, del Parlamento Europeo y del Consejo, relativa a la protección de los conocimientos técnicos y la información empresarial confidencial. Antes de esta norma, la tutela de los secretos empresariales se articulaba principalmente a través de la Ley de Competencia Desleal y el Código Penal (artículos 278 a 280 CP, que tipifican el descubrimiento y revelación de secretos empresariales con penas de hasta cuatro años de prisión).
La Ley 1/2019 introduce tres requisitos acumulativos para que la información reciba protección como secreto empresarial: que sea secreta (no de dominio público ni fácilmente accesible), que tenga valor comercial derivado precisamente de su carácter secreto, y que haya sido objeto de medidas razonables para mantener su secreto por parte del titular. El NDA es, precisamente, una de esas medidas razonables: su existencia acredita que el titular tomó precauciones activas para preservar la confidencialidad.
La ley también amplía la legitimación activa para reclamar: el titular puede ejercitar acciones civiles de cesación, remoción de efectos, indemnización de daños y perjuicios, atribución en propiedad de los bienes infractores y publicación de la sentencia. Las medidas cautelares —especialmente la prohibición provisional de uso o divulgación— son especialmente relevantes en el contexto de procesos de M&A o acuerdos de licencia donde la filtración de información puede tener efectos irreversibles.
Tipos de NDA: unilateral y bilateral
Un NDA unilateral obliga únicamente a una parte a guardar confidencialidad. Es el modelo habitual cuando una empresa (divulgante) comparte información con un potencial inversor, comprador o proveedor (receptor) sin que exista intercambio recíproco de información reservada. La ventaja es su sencillez; el inconveniente, que la parte receptora puede sentirlo como una declaración de desequilibrio negocial.
Un NDA bilateral o mutuo obliga a ambas partes en igualdad de condiciones. Es el modelo más adecuado en joint ventures, alianzas estratégicas, negociaciones de colaboración tecnológica o cualquier proceso en el que ambas partes revelan información sensible. Aunque su redacción es más compleja —porque las definiciones de información confidencial y las exclusiones deben estar bien calibradas para ambas direcciones—, ofrece mayor protección recíproca y suele ser exigido por las partes con más poder negociador.
Cláusulas esenciales de un NDA ejecutable
Un NDA genérico descargado de Internet tiene un valor jurídico limitado si no recoge con precisión los elementos que definen su ámbito de aplicación. Las cláusulas imprescindibles son:
Definición de información confidencial. Debe ser lo suficientemente amplia para cubrir toda la información relevante —técnica, comercial, financiera, estratégica— pero no tan genérica que resulte inaplicable. En M&A, la práctica habitual es considerar confidencial toda la información divulgada en el marco del proceso, con excepciones expresas para información que ya era pública antes de la divulgación, información conocida por el receptor con anterioridad o información que el receptor desarrolla de forma independiente sin utilizar la información divulgada.
Obligaciones del receptor. Deben especificarse: el deber de no divulgar a terceros no autorizados, el deber de utilizar la información únicamente para la finalidad del acuerdo (denominado purpose limitation), el deber de adoptar medidas de seguridad equivalentes a las propias, y la lista de personas autorizadas a acceder a la información (need-to-know basis).
Plazo de vigencia. La duración de la obligación de confidencialidad debe distinguirse de la duración del acuerdo principal. En España es habitual pactar plazos de dos a cinco años para información comercial y plazos más largos —o incluso indefinidos— para secretos técnicos o know-how. La indefinición temporal puede ser cuestionada por los tribunales si resulta desproporcionada, aunque la Ley 1/2019 no establece un límite máximo expreso.
Ley aplicable y fuero. En contratos internacionales es imprescindible determinar expresamente la ley aplicable (Reglamento Roma I) y la jurisdicción competente o la institución arbitral. La omisión de esta cláusula en contratos con partes extranjeras puede derivar en costosos procedimientos de determinación de la ley aplicable antes de entrar al fondo del asunto.
Consecuencias del incumplimiento. La inclusión de una cláusula penal —que establece una indemnización predeterminada por incumplimiento— facilita enormemente la reclamación judicial, ya que evita la carga de probar el daño concreto. Conforme al artículo 1154 del Código Civil, los tribunales pueden moderar la pena pactada si la obligación principal se ha cumplido en parte, por lo que es aconsejable redactarla de forma específica para cada supuesto de incumplimiento.
El NDA en procesos de M&A
En las operaciones de fusión y adquisición, el NDA —también llamado acuerdo de confidencialidad— es el primer documento que firman las partes, antes incluso de la carta de intenciones (LOI). Su función en este contexto es específica: proteger la información del data room, las proyecciones financieras, la base de clientes, los contratos con proveedores y cualquier otra información sensible que el vendedor comparte para permitir la due diligence del comprador.
Una práctica habitual en M&A es incluir en el NDA una cláusula de standstill, que prohíbe al receptor —durante un período determinado— adquirir acciones de la sociedad objeto de la operación o lanzar una OPA sin el consentimiento del consejo de administración del vendedor. Esta cláusula, de origen anglosajón, tiene plena validez en el derecho español, aunque su ejecutabilidad debe analizarse en el contexto del Derecho del Mercado de Valores y de la normativa sobre OPAs (Real Decreto 1066/2007).
Interacción con el RGPD y la Ley Orgánica 3/2018
Cuando la información confidencial incluye datos de carácter personal, el NDA debe articularse con las obligaciones derivadas del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD). La divulgación de datos personales en el marco de un proceso de due diligence puede requerir la formalización de un acuerdo de encargado del tratamiento (artículo 28 RGPD) o, en su caso, de un acuerdo de corresponsables del tratamiento (artículo 26 RGPD), con independencia del NDA.
El incumplimiento del RGPD en este contexto puede generar, además de la responsabilidad contractual por violación del NDA, sanciones administrativas de hasta 20 millones de euros o el 4% del volumen de negocio anual mundial, conforme al artículo 83 del RGPD.
En BMC nuestro equipo legal está a su disposición. Conozca nuestros servicios de derecho mercantil.
Marco regulador específico: normas que regulan la confidencialidad en España
El NDA (Non-Disclosure Agreement) en España se asienta sobre un marco normativo que combina el derecho contractual general con normas sectoriales específicas.
Código Civil (CC, Real Decreto de 24 julio 1889, BOE 25 julio 1889): El art. 1091 CC establece que las obligaciones que nacen de los contratos tienen fuerza de ley entre las partes contratantes y deben cumplirse a tenor de los mismos. El art. 1254 CC define el contrato como el acuerdo de voluntades que crea obligaciones entre las partes. El art. 1102 CC establece que la responsabilidad procedente del dolo es exigible en todas las obligaciones, y la renuncia de la acción para hacerla efectiva es nula. Esto implica que las cláusulas limitativas de responsabilidad en los NDA no son oponibles cuando el incumplimiento es doloso (intencional).
Ley de Competencia Desleal (LCD, Ley 3/1991, de 10 de enero, BOE 11 enero 1991): El art. 13 LCD tipifica como acto de competencia desleal la explotación de secretos industriales o empresariales mediante divulgación o uso no autorizado, incluso cuando la información fue obtenida de una persona que la tenía bajo deber de confidencialidad. La LCD permite la acción de cesación del acto desleal (art. 32.1.1.ª) y la acción de indemnización de daños y perjuicios (art. 32.1.5.ª). El plazo de prescripción de las acciones de la LCD es de 3 años desde el momento en que el demandante tuvo conocimiento del acto (art. 35 LCD).
Ley de Secretos Empresariales (LSE, Ley 1/2019, de 20 de febrero, BOE 21 febrero 2019): Transpone la Directiva UE 2016/943. El art. 1 define el secreto empresarial como toda información o conocimiento que cumpla tres condiciones: ser secreto (no generalmente conocido), tener valor comercial por su carácter secreto, y haber sido objeto de medidas razonables para mantenerlo secreto. El art. 4 establece la obtención, utilización y divulgación de secretos empresariales como actos ilícitos. El art. 11 permite las acciones de cesación, indemnización y publicación de la sentencia. La LSE protege los secretos empresariales con independencia de que exista un NDA; sin embargo, el NDA refuerza la protección al establecer una base contractual adicional y facilitar la prueba del incumplimiento.
Código Penal (LO 10/1995) — Revelación de secretos empresariales: El art. 278 CP tipifica el apoderamiento de datos, documentos, objetos o instrumentos destinados a mantenerse en secreto para descubrir un secreto de empresa, con pena de prisión de 2 a 4 años y multa de 12 a 24 meses. El art. 279 CP sanciona la difusión, revelación o cesión del secreto de empresa (pena de 1 a 3 años y multa de 12 a 24 meses). El art. 280 CP sanciona al que, con conocimiento de su origen ilícito, recibe, aprovecha o facilita la información obtenida mediante los actos anteriores.
RGPD (Reglamento UE 2016/679) — Interacción NDA y protección de datos: Cuando la información confidencial incluye datos personales, el NDA debe articularse con el RGPD. El art. 28 RGPD exige la formalización de un acuerdo de encargado del tratamiento (AET) cuando una parte accede a datos personales para prestar servicios a la otra. El AET y el NDA son documentos complementarios: el NDA cubre la confidencialidad de la información de negocio; el AET regula específicamente el tratamiento de datos personales en el marco del servicio.
Ejemplo práctico: NDA en proceso de M&A con due diligence cruzada
Operación: empresa industrial española (vendedor) y fondo de private equity europeo (comprador potencial) inician un proceso de due diligence de 3 meses antes de la firma del SPA.
Cláusulas del NDA negociadas:
| Cláusula | Redacción estándar | Resultado de la negociación |
|---|---|---|
| Definición de información confidencial | Toda información intercambiada | Incluye explícitamente: proyecciones financieras, lista de clientes, información sobre empleados clave, know-how tecnológico, contratos con proveedores estratégicos |
| Excepciones | Información de dominio público | Añadida: información que el receptor demuestre conocer previamente documentada + información requerida por autoridad legal |
| Período de vigencia | 2 años desde la firma | 3 años desde la fecha de la última información intercambiada (en caso de no cierre de la operación) |
| Restricción de uso | Solo para evaluar la operación | Prohibición expresa de usar la información para iniciar relación comercial directa con los clientes identificados durante la DD |
| Cláusula de no solicitud | No incluida en borrador inicial | Añadida: prohibición de contratar a empleados clave del vendedor durante 18 meses desde la firma |
| Pena convencional | No incluida | 500.000 EUR de indemnización pactada (pena ex art. 1152 CC) en caso de incumplimiento doloso |
| Ley aplicable y jurisdicción | Inglesa / Londres (propuesta del comprador) | Española / Madrid (resultado final) |
Resultado: el NDA negocia durante 3 semanas antes de la firma. El proceso de DD se desarrolla sin incidencias de confidencialidad. Tras la DD, el fondo decide no cerrar la operación. El NDA evitó que el fondo utilizara la información sobre los clientes del vendedor para iniciar relaciones comerciales directas con ellos.
Errores comunes en la redacción y gestión de NDA
Error 1 — Usar un modelo genérico sin adaptar la definición de información confidencial: La definición de información confidencial es el elemento más crítico del NDA. Un NDA que define “toda la información intercambiada” sin excluir explícitamente la información de dominio público o la que el receptor ya conocía puede resultar en disputas sobre qué información estaba protegida. Un NDA que define excesivamente la información confidencial puede resultar ineficaz para proteger la que realmente importa.
Error 2 — No incluir la cláusula de restricción de solicitud de empleados (no poaching): En procesos de M&A y en relaciones de prestación de servicios donde se produce acceso a información sobre el equipo clave, la cláusula de no solicitud (non-solicitation) es tan importante como la propia confidencialidad. Sin ella, el receptor puede legalmente intentar contratar a los empleados clave del cedente, aunque no pueda divulgar su información confidencial.
Error 3 — Usar ley y jurisdicción extranjera en contratos de NDA entre empresas españolas: La aplicación de la ley inglesa a un NDA entre dos empresas españolas puede generar costes adicionales de litigación y dificultar la ejecución de sentencias o laudos arbitrales en España. Salvo que la operación tenga una dimensión verdaderamente internacional, la ley española y la jurisdicción española (o el arbitraje con sede en España) son la opción más eficiente.
Error 4 — No establecer una pena convencional para el caso de incumplimiento: Sin pena convencional (art. 1152 CC), la indemnización por incumplimiento del NDA requiere probar los daños reales sufridos, lo que es extraordinariamente difícil cuando la información confidencial ha sido utilizada por el receptor sin que el cedente tenga acceso a las pruebas del uso. La pena convencional facilita la reclamación al establecer un importe pactado que no requiere prueba del daño efectivo.
Error 5 — No hacer un seguimiento de los documentos intercambiados durante la vigencia del NDA: El NDA es un instrumento preventivo, pero su eficacia en sede judicial depende de que el cedente pueda probar qué información específica fue intercambiada y cuándo. Un registro de los documentos y comunicaciones intercambiadas durante la due diligence o durante la relación comercial protegida por el NDA es fundamental para poder acreditar el incumplimiento si se produce.
Próximos pasos para gestionar correctamente la confidencialidad empresarial
- Adaptar el NDA al propósito específico: no usar el mismo modelo para una due diligence de M&A, para un acuerdo con un consultor, para una relación con un proveedor de tecnología y para una relación con un distribuidor; cada relación tiene un perfil de riesgo de confidencialidad diferente que debe reflejarse en el NDA.
- Identificar la información confidencial clave antes de negociar el NDA: determinar qué información es realmente valiosa y debe protegerse (proyecciones financieras, fórmulas, clientes, tecnología, planes estratégicos) y asegurarse de que la definición del NDA la cubre explícitamente.
- Verificar la elegibilidad de la información como secreto empresarial (LSE): confirmar que la información cumple los tres requisitos de la LSE (secret, commercially valuable, reasonably protected); solo la información que cumple estos requisitos puede ser protegida judicialmente como secreto empresarial, independientemente de lo que diga el NDA.
- Establecer el procedimiento de devolución o destrucción de información al término del NDA: incluir una cláusula que obligue al receptor a devolver o destruir toda la información confidencial (y sus copias) dentro de los X días siguientes al término del NDA o de la relación protegida; exigir certificación escrita de la destrucción.
- Revisar los NDA firmados periódicamente: muchos NDA tienen plazos de vigencia que vencen sin que nadie lo detecte; establecer un calendario de revisión de NDA activos para detectar vencimientos y renovarlos cuando la relación continúe.
En BMC redactamos y revisamos NDA en el contexto de operaciones de M&A, acuerdos tecnológicos, relaciones con inversores y colaboraciones empresariales, asegurando que la protección de la información confidencial sea efectiva y ejecutable. Consulte nuestros servicios de derecho mercantil.
