Ocho etapas para proteger los secretos comerciales

febrero de 2016

Por Pamela Passman, Presidenta y Consejera Delegada del Center for Responsible Enterprise And Trade (CREATe.org), Washington DC (Estados Unidos de América), antigua Vicepresidenta Corporativa y Consejera General Adjunta de Asuntos Corporativos y Reglamentarios Mundiales de Microsoft Corporation.

Los ciberataques internacionales contra la propiedad intelectual de las empresas siguen haciendo correr ríos de tinta, así que muchas de ellas se afanan en apuntalar sus redes informáticas para desbaratar los planes de los piratas informáticos.

Sin embargo, en realidad, quizá la mayor amenaza se encuentre ya en el seno de la empresa.  En más del 85% de las demandas por robo de secretos comerciales presentadas ante los tribunales estatales y federales de los Estados Unidos, el presunto ladrón era un empleado de la empresa o un socio comercial.  Esa es la asombrosa conclusión del estudio titulado A Statistical Analysis of Trade Secret Litigation in Federal Courts PDF, A Statistical Analysis of Trade Secret Litigation in Federal Courts, (Análisis estadístico de los litigios por infracción de secretos comerciales en los tribunales federales), el primer estudio estadístico sobre el tema del que se tiene conocimiento.

¿Cómo se puede proteger los secretos comerciales ante las amenazas externas y los posibles ladrones que ya forman parte de la empresa?

Cada vez más, los tribunales dictaminan que las empresas deben adoptar “medidas razonables” para garantizar la seguridad de sus activos corporativos confidenciales, y esos esfuerzos deben incluir no solo la protección de las redes informáticas sino también la introducción de la protección de los secretos comerciales en las operaciones y los procesos.

Determinar cuál es el alcance de esas “medidas razonables” puede resultar difícil, pues los gobiernos se han mostrado muy laxos en la definición del término.  Y además, las leyes y la legislación siguen evolucionando.  En cualquier caso, la investigación sobre lo que sucede en los tribunales permite saber cuáles son los elementos clave para dar con un plan eficaz con el que proteger los secretos comerciales.

International cyberattacks continue to attract media attention, but a recent study shows that the greatest threat may lie within companies (photo: iStockphoto/LagartoFilm).

Proteger las joyas de la corona de la empresa

En el estudio citado se concluye que los acuerdos de confidencialidad con los empleados y los socios de la empresa son los factores más importantes cuando los tribunales deben decidir si una empresa ha adoptado las medidas razonables para proteger sus secretos comerciales.  Ahora bien, las sentencias favorables dictadas por los tribunales demuestran que las empresas pueden y deben adoptar varias medidas adicionales para obtener reparación en caso de que se pongan en peligro las joyas de la corona de la empresa.

Las ocho categorías de un plan de protección completo incluyen: 

  • crear acuerdos, políticas, procedimientos y registros para establecer y documentar la protección;
  • adoptar medidas físicas y electrónicas para salvaguardar la seguridad y la confidencialidad;
  • evaluar los riesgos para luego definir y priorizar las vulnerabilidades de los secretos comerciales;
  • establecer procedimientos de diligencia debida y de gestión constante de los actores externos;
  • constituir un equipo de protección de la información;
  • formar y fortalecer las capacidades de los empleados y los actores externos;
  • supervisar y medir los esfuerzos de la empresa;
  • adoptar medidas correctivas y mejorar de forma continua las políticas y los procedimientos.

1. Implantar procedimientos empresariales para aumentar el número de acuerdos de no divulgación

Tal como confirma el estudio, los acuerdos de confidencialidad y no divulgación con los empleados y los socios de la empresa constituyen una excelente primera línea de defensa y han sido recompensados por los tribunales.  Además, los jueces han afirmado que una prueba importante de que la empresa protege sus secretos comerciales es que cuente con una política corporativa general para mantener la confidencialidad.

Las empresas también deben elaborar procedimientos para cerciorarse de que se aplican las políticas corporativas y se documentan las protecciones y su cumplimiento.  En las sentencias a menudo se cita favorablemente la implantación de procedimientos específicos para respaldar determinados aspectos de las políticas de confidencialidad de las empresas.  Estos procedimientos van desde pedir a los empleados que devuelvan la información confidencial cuando abandonen la empresa hasta marcar los documentos como confidenciales, pasando por denegar a un único empleado o asociado el acceso a la totalidad de un proceso, fórmula u otro tipo de información confidencial.

Para que puedan considerarse “medidas razonables”, las políticas, los procedimientos y los registros también deben ser objeto de un seguimiento uniforme.  Por ejemplo, cuando el servicio de información sanitaria PatientPoint interpuso una demanda para evitar que un empleado despedido usara, entre otras, informaciones importantes para la competitividad de la empresa y sobre el patrocinador, a las que había tenido acceso durante el desempeño de sus funciones, el tribunal tuvo en cuenta que PatientPoint no había pedido al empleado que firmara un acuerdo de no divulgación hasta un año después de que asumiera su cargo.  Además, la empresa no le pidió que devolviera la computadora portátil ni la información confidencial hasta seis meses después de su despido.

2.  Controlar el acceso físico y electrónico

La mayoría de las empresas son conscientes de que la seguridad física y electrónica son fundamentales para la protección de la propiedad intelectual, y los tribunales la exigen cada vez más.  Por ejemplo, los tribunales japoneses han dictaminado que, para que se considere que la información “se ha mantenido en secreto” y se puedan aplicar las normas de competencia desleal que rigen los secretos comerciales, las empresas deben “aplicar restricciones de acceso físico y electrónico”.

Las empresas también deberían incorporar la protección de la información confidencial en la planificación del sistema de seguridad de las instalaciones físicas e informáticas así como restringir el acceso al mismo.  Además, deberían evaluar y mejorar periódicamente sus sistemas.

3.  Documentar y evaluar la información y adoptar medidas para gestionar los riesgos

Resulta difícil denunciar el robo de secretos comerciales sin haber definido antes cuál es la información que se considera confidencial.  El primer paso es dejar constancia de los secretos comerciales en un registro interno.  A continuación, se debería evaluar los riesgos que se derivarían del robo de esos secretos.  ¿Cuáles son los departamentos más expuestos a un riesgo de infracción o filtración? ¿Cuáles son los más vulnerables? Una vez definidos, las empresas deberían adoptar medidas adicionales para proteger esos departamentos cruciales para su supervivencia.

Los tribunales han estimado que las empresas que habían incluido determinado material en el registro de secretos comerciales habían desplegado “esfuerzos razonables” para mantener esa confidencialidad.  En un conocido caso de 1991, una empresa del sector de la electrónica, Texas Instruments (TI), ganó un pleito contra dos de sus antiguos investigadores, que habían copiado todos sus directorios informáticos antes de marcharse a la competencia.  En la condena impuesta a los exempleados, el tribunal citó el registro de secretos comerciales de Texas Instruments, que formaba parte de una larga lista de otros “esfuerzos razonables” que había acometido la empresa, como prueba de que la tecnología y los programas informáticos de la empresa eran materia susceptible de protección.

4.  Crear planes y procedimientos para la cadena de suministro

Puede que los actores externos, como los socios de empresas conjuntas, los proveedores, los distribuidores e incluso los clientes, tengan acceso a los secretos comerciales con fines de fabricación, desarrollo de productos u otras colaboraciones.  Dado que estos socios pueden ser el origen de la apropiación indebida, resulta crucial contar con procedimientos establecidos para proteger los activos confidenciales.

Los acuerdos de no divulgación con actores externos pueden considerarse un esfuerzo de protección razonable, pero no son suficientes.  Las empresas deberían incluir la protección de los secretos comerciales en los criterios de diligencia debida, realizar exámenes continuos de los procedimientos establecidos para mantener la información confidencial y comunicar de forma periódica a sus asociados lo que esperan de ellos en relación con la protección de los secretos comerciales.

5.  Impartir formación a los empleados y proveedores

La formación es esencial para que tanto los empleados como los asociados sepan qué se espera de ellos cuando tengan que manipular esa información.  El haberse saltado esas etapas tan sencillas – que pueden quedar fuera de la formación empresarial básica – ha impedido que algunas empresas puedan ampararse en la protección de la ley.  Si bien algunas empresas han ganado litigios por robo contra antiguos empleados en base a sus procedimientos de formación empresarial, en el caso de MBL (USA) Corporation contra su antiguo empleado, los tribunales consideraron que la empresa no había informado a sus empleados de “lo que consideraba [la empresa] que era confidencial, de haberlo”, lo que fue determinante para que desestimaran la causa.

6.  Componer un equipo especial de operaciones sobre secretos comerciales

Los problemas surgen cuando en la empresa no hay ningún responsable máximo de proteger los secretos comerciales y otras informaciones confidenciales.  La opinión de los tribunales no ha sido favorable a las empresas que no habían nombrado a una persona o grupo al cargo de la protección de los secretos comerciales.  Las mejores prácticas también apuntan a establecer un equipo interdisciplinario con representación de las personas que pueden garantizar que se están siguiendo las políticas de protección de los secretos comerciales.

En un caso en el que se acusaba a un antiguo empleado de una empresa especializada en contabilidad de haber violado sus secretos comerciales, la causa fue desestimada cuando se comprobó que el público también tenía acceso a los nombres de los clientes.  Se habían dejado los nombres en el mostrador de recepción de la empresa, sobre los escritorios de los empleados, en las computadoras a las que tenía acceso otra empresa del mismo edificio, en las computadoras cuyas contraseñas se dejaban sobre los escritorios o se comunicaban a voz en grito en la sala, y en zonas en las que el público y el personal de mantenimiento y limpieza podían verlos.  No parecía que hubiera una sola persona encargada de proteger esta información.

7.  Aportar mejoras constantes

Por desgracia, hay empresas que atienden a la protección de los secretos comerciales sólo en momentos clave, como la constitución de una nueva empresa conjunta.  Pero, en realidad, esos esfuerzos de protección deberían ser constantes.  El seguimiento de la protección de los secretos comerciales debería hacerse de forma anual y deberían actualizarse los procedimientos con la suficiente asiduidad para mantener la coherencia y garantizar su cumplimiento.

Además, cabe señalar que, a medida que las empresas crecen, los procedimientos y las políticas deben evolucionar.  Lo mismo sucede con los planes de protección de los secretos comerciales.  En litigios por infracción de secretos comerciales, los tribunales han tomado en consideración las medidas correctivas como criterio para determinar si la empresa había adoptado “medidas razonables” para proteger sus secretos comerciales.  Entre otras prácticas pioneras en materia de medidas correctivas y mejoras se pueden incluir la elaboración de un plan de respuesta rápida, el análisis de las causas subyacentes de los problemas y el rastreo.

8.  Hacer de la protección de los secretos comerciales una prioridad de la empresa

Hoy en día, las ciberamenazas, la digitalización de la información, la complejidad de las cadenas de suministro y la circulación de los empleados entre empresas y de un continente a otro acentúan los riesgos a los que están expuestos los secretos comerciales, tan valiosos para las empresas.

Para proteger la información vital de las empresas, éstas deben fortalecer la seguridad y, algo que también es importante, poner en marcha sistemas que garanticen la protección de los secretos comerciales.  Así las empresas podrán mitigar los riesgos y, al tiempo, satisfacer el requisito de adopción de “medidas razonables” que se les exigirá en caso de que sus secretos comerciales hayan sido usurpados.  De no hacerlo así, las empresas pondrán en peligro sus ingresos, su reputación y su ventaja sobre la competencia.

Encontrarán más información en el libro blanco titulado Reasonable Steps(Medidas razonables) disponible en inglés.

Enlaces

El propósito de OMPI Revista es fomentar los conocimientos del público respecto de la propiedad intelectual y la labor que realiza la OMPI, y no constituye un documento oficial de la Organización. Las denominaciones empleadas en esta publicación y la forma en que aparecen presentados los datos que contiene no entrañan, de parte de la OMPI, juicio alguno sobre la condición jurídica de ninguno de los países, territorios o zonas citados o de sus autoridades, ni respecto de la delimitación de sus fronteras o límites. La presente publicación no refleja el punto de vista de los Estados miembros ni el de la Secretaría de la OMPI. Cualquier mención de empresas o productos concretos no implica en ningún caso que la OMPI los apruebe o recomiende con respecto a otros de naturaleza similar que no se mencionen.