Compañías sin secretos
A muchos profesionales de seguridad de la información que trabajan en compañías, algunas cotizadas, les ha pasado desapercibida la incorporación al derecho español de la Directiva 2016/943, relativa a la protección de los conocimientos técnicos y a la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas.
Dicha incorporación se hizo mediante la publicación en el BOE de 21 de febrero de la Ley de Secretos Empresariales, hoy vigente, cuyo objeto es, precisamente, la protección de los secretos empresariales, entendiéndose por tales cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero que reúna las condiciones especificadas en el texto legal.
Uno de los aspectos más interesantes de esta ley es que aporta, en lo que toca a la obtención ilícita de secretos empresariales sin consentimiento de su titular, algunos peteretes que todo buen CISO apreciará, por cuanto lo indicado parece que está pidiendo a gritos incorporar, en aquellas empresas en que no se haya hecho ya, el tratamiento de la información constitutiva de secreto empresarial en la política de seguridad, un punto más que vincula esta parcela con el sistema corporativo de gestión de riesgos. Hablamos de negocio.
Obtención ilícita
Y es que la obtención de un secreto empresarial sin consentimiento del titular, se considerará ilícita cuando, entre otras formas, se haga mediante el acceso, apropiación o copia no autorizadas de documentos, objetos materiales, sustancias, ficheros electrónicos u otros soportes, que contengan secreto empresarial o a partir de los cuales se pueda deducir...
En los tiempos que corren, dominados por el diseño y rediseño de las operativas de negocio y actividad, su adaptación al espacio digital, el subidón a la nube, el trabajo colaborativo deslocalizado con la intervención de proveedores y otros terceros, obliga al CISO a intervenir activamente en la gestión de los riesgos de seguridad de los secretos empresariales, cuya gestión en muchos sectores ha permanecido hasta hoy en celosas manos pelín inexpertas en protección de información tratada en sistemas tecnológicos.
La cosa tiene su aquél, porque aquí no estamos hablando de datos personales (si los hubiera, ya saben los Delegados de Protección de Datos y los CISOs cómo hay que tratarlos), sino de información estratégica de negocio que hay que proteger y que, de no serlo, difícilmente será asegurable, además de acarrear, si se materializa y “prueba” la ilicitud de su obtención, consecuencias irremediables.
Puede pasar también que una compañía no esté clasificando formalmente su información y, por tanto, no catalogando como tal la susceptible de ser considerada secreto empresarial.
Si yo me enterara lícitamente de cosa semejante, no me gustaría ser accionista y/o cliente de una empresa así. Palabra.