El contrato de confidencialidad —conocido internacionalmente como Non-Disclosure Agreement o NDA— es el instrumento jurídico mediante el cual una o varias partes se obligan a no divulgar información que les haya sido confiada en el marco de una relación comercial, negociación o colaboración. En España, su eficacia jurídica descansa sobre dos pilares: el régimen general de los contratos del Código Civil (artículos 1254 a 1258) y, desde marzo de 2019, el régimen específico de la Ley 1/2019, de 20 de febrero, de Secretos Empresariales.
Marco normativo: Ley 1/2019 y su relación con el NDA
La Ley 1/2019 transpone la Directiva (UE) 2016/943, del Parlamento Europeo y del Consejo, relativa a la protección de los conocimientos técnicos y la información empresarial confidencial. Antes de esta norma, la tutela de los secretos empresariales se articulaba principalmente a través de la Ley de Competencia Desleal y el Código Penal (artículos 278 a 280 CP, que tipifican el descubrimiento y revelación de secretos empresariales con penas de hasta cuatro años de prisión).
La Ley 1/2019 introduce tres requisitos acumulativos para que la información reciba protección como secreto empresarial: que sea secreta (no de dominio público ni fácilmente accesible), que tenga valor comercial derivado precisamente de su carácter secreto, y que haya sido objeto de medidas razonables para mantener su secreto por parte del titular. El NDA es, precisamente, una de esas medidas razonables: su existencia acredita que el titular tomó precauciones activas para preservar la confidencialidad.
La ley también amplía la legitimación activa para reclamar: el titular puede ejercitar acciones civiles de cesación, remoción de efectos, indemnización de daños y perjuicios, atribución en propiedad de los bienes infractores y publicación de la sentencia. Las medidas cautelares —especialmente la prohibición provisional de uso o divulgación— son especialmente relevantes en el contexto de procesos de M&A o acuerdos de licencia donde la filtración de información puede tener efectos irreversibles.
Tipos de NDA: unilateral y bilateral
Un NDA unilateral obliga únicamente a una parte a guardar confidencialidad. Es el modelo habitual cuando una empresa (divulgante) comparte información con un potencial inversor, comprador o proveedor (receptor) sin que exista intercambio recíproco de información reservada. La ventaja es su sencillez; el inconveniente, que la parte receptora puede sentirlo como una declaración de desequilibrio negocial.
Un NDA bilateral o mutuo obliga a ambas partes en igualdad de condiciones. Es el modelo más adecuado en joint ventures, alianzas estratégicas, negociaciones de colaboración tecnológica o cualquier proceso en el que ambas partes revelan información sensible. Aunque su redacción es más compleja —porque las definiciones de información confidencial y las exclusiones deben estar bien calibradas para ambas direcciones—, ofrece mayor protección recíproca y suele ser exigido por las partes con más poder negociador.
Cláusulas esenciales de un NDA ejecutable
Un NDA genérico descargado de Internet tiene un valor jurídico limitado si no recoge con precisión los elementos que definen su ámbito de aplicación. Las cláusulas imprescindibles son:
Definición de información confidencial. Debe ser lo suficientemente amplia para cubrir toda la información relevante —técnica, comercial, financiera, estratégica— pero no tan genérica que resulte inaplicable. En M&A, la práctica habitual es considerar confidencial toda la información divulgada en el marco del proceso, con excepciones expresas para información que ya era pública antes de la divulgación, información conocida por el receptor con anterioridad o información que el receptor desarrolla de forma independiente sin utilizar la información divulgada.
Obligaciones del receptor. Deben especificarse: el deber de no divulgar a terceros no autorizados, el deber de utilizar la información únicamente para la finalidad del acuerdo (denominado purpose limitation), el deber de adoptar medidas de seguridad equivalentes a las propias, y la lista de personas autorizadas a acceder a la información (need-to-know basis).
Plazo de vigencia. La duración de la obligación de confidencialidad debe distinguirse de la duración del acuerdo principal. En España es habitual pactar plazos de dos a cinco años para información comercial y plazos más largos —o incluso indefinidos— para secretos técnicos o know-how. La indefinición temporal puede ser cuestionada por los tribunales si resulta desproporcionada, aunque la Ley 1/2019 no establece un límite máximo expreso.
Ley aplicable y fuero. En contratos internacionales es imprescindible determinar expresamente la ley aplicable (Reglamento Roma I) y la jurisdicción competente o la institución arbitral. La omisión de esta cláusula en contratos con partes extranjeras puede derivar en costosos procedimientos de determinación de la ley aplicable antes de entrar al fondo del asunto.
Consecuencias del incumplimiento. La inclusión de una cláusula penal —que establece una indemnización predeterminada por incumplimiento— facilita enormemente la reclamación judicial, ya que evita la carga de probar el daño concreto. Conforme al artículo 1154 del Código Civil, los tribunales pueden moderar la pena pactada si la obligación principal se ha cumplido en parte, por lo que es aconsejable redactarla de forma específica para cada supuesto de incumplimiento.
El NDA en procesos de M&A
En las operaciones de fusión y adquisición, el NDA —también llamado acuerdo de confidencialidad— es el primer documento que firman las partes, antes incluso de la carta de intenciones (LOI). Su función en este contexto es específica: proteger la información del data room, las proyecciones financieras, la base de clientes, los contratos con proveedores y cualquier otra información sensible que el vendedor comparte para permitir la due diligence del comprador.
Una práctica habitual en M&A es incluir en el NDA una cláusula de standstill, que prohíbe al receptor —durante un período determinado— adquirir acciones de la sociedad objeto de la operación o lanzar una OPA sin el consentimiento del consejo de administración del vendedor. Esta cláusula, de origen anglosajón, tiene plena validez en el derecho español, aunque su ejecutabilidad debe analizarse en el contexto del Derecho del Mercado de Valores y de la normativa sobre OPAs (Real Decreto 1066/2007).
Interacción con el RGPD y la Ley Orgánica 3/2018
Cuando la información confidencial incluye datos de carácter personal, el NDA debe articularse con las obligaciones derivadas del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD). La divulgación de datos personales en el marco de un proceso de due diligence puede requerir la formalización de un acuerdo de encargado del tratamiento (artículo 28 RGPD) o, en su caso, de un acuerdo de corresponsables del tratamiento (artículo 26 RGPD), con independencia del NDA.
El incumplimiento del RGPD en este contexto puede generar, además de la responsabilidad contractual por violación del NDA, sanciones administrativas de hasta 20 millones de euros o el 4% del volumen de negocio anual mundial, conforme al artículo 83 del RGPD.
En BMC nuestro equipo legal está a su disposición. Conozca nuestros servicios de derecho mercantil.
