La información es uno de los principales activos de las empresas, pero por mucho que esto se repita, muy pocos empresarios toman realmente medidas efectivas para proteger ese patrimonio empresarial.
Varias son las razones que suelen llevar a esta inacción: se confía en los trabajadores o colaboradores, se ve como algo difícil de controlar y sobre todo se piensa que como se trata de un mal que afecta de forma muy indirecta o lejana, cuando hay otras prioridades a las que atender.
Aunque hay muchos menos conflictos de lo que podría darse, la empresa que sufre la situación de pérdida de información o sustracción de la misma (fundamentalmente datos de clientes o datos comerciales, aunque a veces también planos o datos de producción) se da cuenta en ese momento de la magnitud del problema que tiene que afrontar.
La protección de la información empresarial viene incluida «de serie» en varias leyes pero se trata de una normativa genérica que suele precisar de mayor concreción dentro de la propia empresa para que sea realmente aplicable. Veamos algunos ejemplos:
Ley Orgánica de Protección de Datos de carácter personal.
Artículo 10 Deber de Secreto «El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo».
Artículo 12 Externalización o subcontratación de servicios Cuando se subcontrata un servicio que conlleva acceder a datos personales de la otra parte y dado que resulta muy difícil acreditar de otra forma como se tratarán estos datos, debe firmarse un contrato por escrito, la norma establece que «La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.»
El Estatuto de los Trabajadores contiene alguna disposición que de forma indirecta e insuficiente por sí misma, establece la necesidad de guardar la confidencialidad actuando dentro de un deber de diligencia y buena fe.
Artículo 65. Expresamente se requiere a los representantes sindicales dicho deber de confidencialidad en relación a la información periódica que se les proporciona, la norma establece que:
2. Los miembros del comité de empresa y éste en su conjunto, así como, en su caso, los expertos que les asistan, deberán observar el deber de sigilo con respecto a aquella información que, en legítimo y objetivo interés de la empresa o del centro de trabajo, les haya sido expresamente comunicada con carácter reservado
y 3. En todo caso, ningún tipo de documento entregado por la empresa al comité podrá ser utilizado fuera del estricto ámbito de aquélla ni para fines distintos de los que motivaron su entrega.
Es por ello que resulta muy recomendable que las empresas incluyan clausulas de confidencialidad a los trabajadores que serán válidas siempre que no resulten abusivas.
Otra cuestión fundamental es la regulación de la confidencialidad en las relaciones con clientes o proveedores y que suele olvidarse completamente.
Para ello deben establecerse clausulas contractuales específicas en los contratos con terceros, normalmente conocidas como clausulas de confidencialidad o también «NDA» (Non- Disclosure Agreement)