Como consecuencia de la publicación de un nuevo Proyecto de Ley de Secretos Empresariales aprobado el pasado 19 de junio de 2018, existen una serie de novedades que van a permitir a las empresas proteger información que abarca no solo conocimientos técnicos o científicos, sino también datos empresariales relativos a clientes y proveedores, planes comerciales y estudios ó estrategias de mercado.
En ocasiones las empresas más innovadoras están cada vez más expuestas a prácticas desleales que persiguen la apropiación indebida de secretos empresariales, como el robo, la copia no autorizada, el espionaje económico o el incumplimiento de los requisitos de confidencialidad. La globalización, una creciente externalización, cadenas de suministros más largas y un mayor uso de las tecnologías de la información y la comunicación contribuyen a aumentar el riesgo de tales prácticas.
Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito es, por tanto garantizar que los riesgos sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
Pero realmente que se considera “secreto empresarial”:
Es cualquier información o conocimiento incluido el tecnológico, científico, industrial, comercial, organizativo o financiero que reúna las siguientes condiciones:
a) Ser secreto, en el sentido de que en su conjunto o en la configuración y reunión precisas de sus componentes no es generalmente conocido por las personas pertenecientes a los círculos en que normalmente se utilice el tipo de información o conocimiento en cuestión, ni fácilmente accesible para ellas.
b) Tener un valor empresarial, ya sea real ó potencial, precisamente por ser secreto, y
c) Haber sido objeto de medidas razonables por parte de su titular para mantenerlo en secreto.
Por lo tanto, cualquier información o conocimiento que cumpla una de las tres condiciones expuesta anteriormente deberá identificarse como “secreto empresarial”
Como puede comprobarse, las empresas deben tener muy claro que es y que no es “secreto empresarial”. A continuación explicaremos paso a paso las acciones a realizar para conseguir nuestros objetivos:
1. Identificar aquella información o conocimiento que sea “secreto empresarial” definiendo exactamente qué lo forma y en qué formato.
Identificar a los responsables directos.
Identificar quiénes conocen ese secreto empresarial y quiénes no así como quienes tienen acceso a dicha información.
Identificar las amenazas en relación a dicho secreto empresarial.
Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas.
Identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos.
2. Analizar y evaluar los riesgos
Evaluar el impacto en el negocio de un acceso ilícito, apropiación indebida ó copia no autorizadas de documentos, objetos, materiales, sustancias, ficheros electrónicos u otros soportes, que contengan el secreto empresarial o a partir de los cuales se pueda deducir y cualquier otra actuación que pueda considerarse contraria a las prácticas comerciales leales.
Garantizar que las personas que las personas que conocen ó tienen acceso al secreto empresarial han firmado un acuerdo de confidencialidad ó cualquier otra obligación de no revelar el secreto empresarial.
Valorar la seguridad de aquellos secretos empresariales cuya obtención de información puede considerarse lícita como consecuencia de:
– El descubrimiento o la creación de forma independiente a la organización.
– La observación, estudio, desmontaje o ensayo de un producto u objeto que se haya puesto a disposición de partes interesadas ó esté lícitamente en posesión de quien realiza estas actuaciones, sin estar sujeto a ninguna obligación que válidamente le impida obtener de este modo la información constitutiva del secreto empresarial.
– El ejercicio del derecho de los trabajadores y los representantes de los trabajadores a ser informados y
consultados, de conformidad con el Derecho europeo o español y las prácticas vigentes;
Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estén implementados y puedan llevarse a cabo de forma ilícita como:
– El acceso, apropiación o copia no autorizadas de documentos, objetos, materiales, sustancias, ficheros electrónicos u otros soportes, que contengan el secreto empresarial o a partir de los cuales se pueda deducir.
– La utilización o revelación de un secreto empresarial sin el consentimiento de su titular, las realice quien haya obtenido el secreto empresarial de forma ilícita, quien haya incumplido un acuerdo de confidencialidad o cualquier otra obligación de no revelar el secreto empresarial o quien haya incumplido una obligación contractual o de cualquier índole que limite la utilización del secreto empresarial.
– La producción, oferta o comercialización de mercancías infractoras o su importación, exportación o almacenamiento con tales fines. Mercancías infractoras son aquellos productos cuyo diseño, características, funcionamiento, proceso de producción o comercialización se benefician de manera significativa de secretos empresariales obtenidos, utilizados ó revelados de forma ilícita.
Estimar los niveles de riesgo
Determinar, según los criterios de aceptación de riesgo previamente establecidos, si el riesgo es aceptable ó necesita ser tratado.
Identificar y evaluar las distintas opciones de tratamiento de los riesgos para aplicar controles adecuados
3. Implantación de plan de tratamiento de riesgos
Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de cada uno de los riesgos identificados.
Implantar el plan de tratamiento de riesgos con el fin de alcanzar los objetivos de control identificados, incluyendo la asignación de recursos, responsabilidades y prioridades.
Implementar los controles anteriormente seleccionados que lleven a los objetivos de control.
Determinar programas de formación y concienciación en relación a la seguridad de los secretos empresariales.
4. Revisión del sistema de seguridad
Revisar regularmente la efectividad, los resultados de auditorías de seguridad, incidentes, etc…
Todos estas acciones son requisitos incluidos en la nueva norma ISO 9001:2015 la cual en el punto 6.1. determina las “Acciones para abordar riesgos y oportunidades” y nos indica la obligación de evitar riesgos, asumir riesgos para perseguir una oportunidad, eliminar la fuente de riesgo, cambiar la probabilidad o las consecuencias, compartir el riesgo o mantener riesgos mediante decisiones informadas. Asimismo el punto 7.1.6. Conocimientos de la organización define que pueden basarse en fuentes internas (por ejemplo propiedad intelectual; conocimientos adquiridos con la experiencia; lecciones aprendidas de los fracasos y de proyectos de éxito; capturar y compartir conocimientos y experiencia no documentado; los resultados de las mejoras en los procesos, productos y servicios) y fuentes externas (por ejemplo normas; conferencias; recopilación de conocimientos provenientes de clientes o proveedores externos). Estos requisitos se introdujeron con el propósito de:
a) Salvaguardar a la organización de la pérdida de conocimientos, por ejemplo
– Por causa de rotación del personal;
– Fracaso a la hora de capturar y compartir información
b) Fomentar que la organización adquiera conocimientos, por ejemplo:
– Aprendiendo de la experiencia
– Estudios comparativos con las mejores prácticas
Todos los riesgos y oportunidades pueden ser gestionados a través de la herramienta QMFERT proporcionada por SINERGIS
