Directiva de secretos comerciales (Directiva 2016/943/UE)

Posted on por
Spread the love
PDF Button

La Directiva 2016/943 armoniza en la UE la protección del know‑how y la información empresarial no divulgada frente a su obtención, uso y divulgación ilícitos. No crea un registro, sino un marco común para que los Estados protejan el secreto empresarial como un activo clave de competitividad e innovación. No impone una lista cerrada de medidas, pero condiciona la protección jurídica a que el titular integre sus secretos en un sistema de seguridad y compliance verificable.

La definición de “secreto comercial” exige tres elementos acumulativos (art. 2.1):

  • Que la información sea secreta (no generalmente conocida ni fácilmente accesible en los círculos que normalmente la manejan).
  • Que tenga valor comercial por ser secreta.
  • Que haya sido objeto de “medidas razonables” por parte de quien la controla para mantenerla en secreto.(en ese tercer requisito se concentran las obligaciones de seguridad )

Obligaciones de seguridad para el titular

La Directiva no enumera taxativamente las medidas, pero deja claro que el titular solo se beneficia del régimen reforzado si puede probar que adoptó medidas razonables de protección. De ahí se derivan, en la práctica, al menos cuatro bloques de obligaciones:

  1. Gobernanza y clasificación de la información
    • Identificar qué informaciones constituyen secreto (know‑how técnico, fórmulas, procesos, planes de negocio, datos de I+D, etc.).
    • Documentar esa condición (políticas internas, clasificaciones, inventarios).
    • Asegurarse de que la información secreta no se mezcla de forma indiscriminada con información pública.
  2. Medidas técnicas de seguridad de la información
    • Controles de acceso físico y lógico, autenticación, segmentación de redes, registro de accesos.
    • Cifrado y protección de copias, backups y soportes donde residen los secretos.
    • Monitorización y detección de accesos o exfiltraciones sospechosas.
      La doctrina y la práctica consideran que estos controles de ciberseguridad formen parte del estándar de “medidas razonables”, en función del tamaño y del riesgo de la empresa.
  3. Medidas organizativas y contractuales
    • NDA y cláusulas de confidencialidad con empleados, directivos, consultores, proveedores, socios, etc.
    • Políticas claras de “need‑to‑know” y formación específica sobre confidencialidad.
    • Procedimientos para la salida de empleados (devolución de soportes, revocación de accesos, recordatorio de confidencialidad).
  4. Capacidad probatoria
    • La empresa debe poder demostrar ex post que aplicó medidas razonables: políticas escritas, logs, planes de seguridad, auditorías, etc.
    • Si no se acredita este estándar, la información puede no ser tratada como secreto comercial y perder la protección reforzada.