Lleva vinculada en las jurisdicciones procesal civil y penal cerca de veinte años. Ha pasado de pequeñas estructuras generalistas a grandes firmas legales como ECIJA y Olleros Abogados. Luego transformado en Andersen Tax & Legal donde fue una de las primeras abogadas que se enfrentó al compliance y a la llegada de la responsabilidad penal de las personas jurídicas. Ahí desarrolla sus primeros proyectos de consultoría de compliance penal. Ahora se ha integrado en la boutique legal que dirige Natalia Martos, Legal Army, como responsable del área de compliance penal, a la que conoce de su etapa de Tuenti y Olleros. Este jueves es la ponente invitada en el IECOM, centro de formación de ASCOM para explicar a muchos compliance officers cómo tienen que afrontar la nueva Ley de Secretos Profesionales. Estudiosa del Derecho, el pasado mes de junio del 2018 realizó con éxito las pruebas de CESCOM, lo que acreditan su formación en materia de compliance.
¿Cómo recuerda la llegada de la responsabilidad penal de las personas jurídicas en nuestro ordenamiento jurídico?
Fue una reforma necesaria que nos pilló a todos por sorpresa. Antes de dicha reforma hubo una vacatio legis de seis meses que nos permitió estudiar bien esta reforma del 2010 aunque la pregunta de los clientes era quién se va sentar en el banquillo.
Hay que recordar que posterior a este cambio normativo fue la reforma de la Ley de Enjuiciamiento Criminal, hubo un tiempo que estábamos todos perdidos, de saber qué iba a pasar ahí. En aquel momento muchos jueces a nivel de resolución aplicaban el articulo 31 del Código Penal en lugar del 31 bis.
También hay que reseñar que la reforma del 2015 trajo un poco de luz a este nuevo escenario y dejo las cosas más claras. Eso hizo que se comentara de forma errónea que la responsabilidad penal de las personas jurídicas había entrado este año.
En este contexto, ¿Cómo valora la aprobación de la Ley de Secretos Empresariales que está a punto de entrar en vigor en nuestro país?
Lo más importante de esta norma es que aclara el concepto de secreto empresarial y su protección procesal. De todas formas, considero que el legislador ha desaprovechado una buena oportunidad de aclarar otros conceptos paralelos o excluir determinadas conductas.
Hasta ahora no existía un concepto legal de secreto de empresa. El Código penal no lo establecía y la ley de Competencia Desleal tampoco, pero ese concepto se fue matizando por la jurisprudencia. Lo vemos en una sentencia de mayo de la Sala Segunda del Tribunal Supremo donde nos señala cuáles son los requisitos de un secreto de empresa.
“La nueva ley aclara cuales son las conductas lícitas e ilícitas con respecto al secreto de empresa”
La entrada en vigor de esta ley aclara el concepto. Es más, establece en el capitulo dos de la norma cuales son las conductas lícitas e ilícitas con respecto al secreto de empresa.
Sin embargo, el legislador no ha derogado los artículos 272, 279 y 280 del Código Penal que regulan el secreto de empresa a nivel penal, aunque habla de la jurisdicción civil para proteger el citado secreto de empresa y la competencia se atribuye a los juzgados de lo mercantil.
Parece por tanto que la única protección de esos secretos es por vía civil a pesar de que siguen teniendo protección penal. La eterna pregunta del cliente ante un conducta ilícita de sus secretos empresariales es ante cual jurisdicción protejo mis derechos. Esa duda procesal sigue existiendo pese a la aprobación de la Ley de Secretos Empresariales, una norma que establece novedades importantes.
De esas novedades que señala ¿Cómo cree que las empresas se van a adaptar a este nuevo entorno normativo definido por esta ley de Secretos Empresariales?
Creo que las empresas ya se han adaptado desde hace años a este marco normativo. Muchas de ellas trabajan con sistemas para proteger esa información de la compañía. Protegen bien su know how que es su core de negocio.
Ahora lo que tienen que hacer es analizar el articulo 1 de dicha Ley donde se establece cuál es el concepto de secreto de empresa donde establece que “ el secreto de empresa debe reunir las siguientes condiciones al mismo tiempo. La primera, que la información sea secreta. Que no sea accesible por todo el mundo. El segundo es que tenga un valor empresarial para protegerse. Y el tercero habla de utilizar medidas razonables de seguridad para mantener dicho secreto. Esas medidas son las que más cuestan de establecer”.
Hay que darse cuenta de que el concepto de razonable no es jurídico, con lo cual su interpretación es diferente en distintas empresas. Hablamos de medidas organizativas y técnicas que costarán interpretar a las empresas porque deberíamos estar hablando de terminología jurídica que ahora tendrán que interpretar los jueces. Las empresas tendrán que demostrar en los tribunales si han protegido convenientemente ese secreto empresarial. Salvo algunas empresas, el resto no ha acabado por definir esas medidas razonables aún.
En ese caso parece entonces que el riesgo de robo de información confidencial está ahí y habrá que ver como lo gestionan las empresas…
Es un riesgo evidente y que está a la orden del día en todas las empresas. Al final el robo de información puede ser sofisticado y contemplar también cualquier apoderamiento de ese secreto de empresa. Su protección es compleja, pero necesaria. Debe haber formación en la empresa para explicar qué conductas se permiten y cuáles son irregulares. Tenemos que explicarles qué puede hacer ante el uso de información sensibles.
Al mismo tiempo debe establecerse un código ético donde se regule expresamente que esas conductas conllevan un acto de competencia desleal y conforman una conducta prohibida. Se debe regular en los contratos de trabajo, especialmente en directivos que vayan a utilizar información sensible, con clausulas de confidencialidad, no competencia o concurrencia. Esas cláusulas deben ser remuneradas para que sean lícitas.
Junto a ellas, debe haber medidas de ciberseguridad que establezcan alertas en el momento que un empleado acceda a determinada información que no tiene acceso. Otra medida que se puede establecer es que la misma persona no tenga acceso a toda la información. Así se pueden generar diferentes niveles de información en función de la responsabilidad del profesional. Se trata de evitar que no se utilice en contra de la propia empresa.
“el compliance officer tanto debe proteger su propia empresa como asegurarse que ningún empleado cometa un delito de utilización de un secreto ajeno en beneficio de la propia empresa”
¿Cuál es el papel del compliance officer ante los secretos empresariales?
La función del compliance officer a nivel de protección de secretos empresariales es clave. Debe de partir del órgano de administración de la empresa como primer interesado en proteger su negocio. El titular del secreto de empresa es la propia empresa.
Debe ser el compliance officer quien establezca formación a nivel interno de la empresa en este tipo de materias. En el propio Código ético de la compañía debe incluir cómo se protegen dichos secretos de empresa.
Al final, la función de compliance es el control y supervisión de las políticas internas de la organización. Esa función es propia del compliance officer. Junto con la protección de los secretos de su empresa también creo que debería proteger los secretos empresariales ajenos.
Si entra a formar parte de una organización un comercial de la competencia, se le incorpora por el valor añadido que tiene del sector y su clientela. En este contexto, la clientela forma parte del secreto de empresa. Tendremos que estar atentos para que la empresa, persona jurídica no responda penalmente por un delito de los consumidores que viene reflejado en los artículos 278, 279 y 280 del Código Penal.
De hecho, en el artículo 280 se habla de delito de descubrimiento del delito de empresa a aquel que utilice ese secreto de empresa indebidamente obtenido. Curiosamente este es un delito que responde la persona jurídica si vemos el artículo 288 bis.
Al final el compliance officer tanto debe proteger su propia empresa como asegurarse que ningún empleado cometa un delito de utilización de un secreto ajeno en beneficio de la propia empresa. Esto es necesario explicarlo a nivel formativo para desterrar este tipo de comportamientos.
Quizás lo más complicado sea acreditar esa sustracción del secreto empresarial por parte de terceros…
Es muy difícil acreditarlo. Sin embargo, partiendo de la base que todos guardamos la información en sistemas de almacenaje de diferente índole, con una buena pericial informática podemos detectar quién ha accedido a determinados archivos y que ha hecho con ellos.
Todo lo que hacemos en la red, ordenadores incluido, deja un rastro que se puede seguir. La propia Brigada de Investigación Tecnológica de la Policía Nacional cuenta con unos profesionales cualificados que detectan cualquier tipo de incidencia en terceros, así lo he visto en varios procedimientos judiciales que he llevado.
¿Qué responsabilidad tiene un compliance officer en el caso que surja un incidente de este tipo donde se sustrae información en la empresa?
Esta es la pregunta que nos venimos haciendo en estos años. Al final se puede señalar que el compliance officer tendrá responsabilidad si realmente incumple la labor profesional que tiene encomendada.
No deja de ser el órgano de supervisión y control de las políticas internas de cualquier empresa. También tendría responsabilidad si participase en los hechos delictivos que se producen en la compañía o si conoce que se está produciendo un ilícito en la compañía y no hace nada por evitarlo. Estaría haciendo una dejadez de sus funciones de compliance.
Si, por el contrario, hizo todo lo que estuvo en su mano y se produjo ese acto ilícito por terceros y se apodera de ese secreto de empresa, considero que no se le podrá exigir esa responsabilidad al propio compliance officer.
En la propia norma se habla de la posibilidad de pedir medidas cautelares al juez de nuestro asunto para evitar la difusión de ese secreto empresarial…
Es una de las mejores novedades de la ley. Que el juez pueda decretar en ese procedimiento judicial donde se analiza la vulneración de un secreto empresarial, medidas cautelares y el secreto del propio procedimiento.
Los que trabajamos en esta jurisdicción penal somos conscientes que cualquiera puede acceder a un procedimiento judicial. Un procedimiento siempre esta en papel y cualquier pudiera tener acceso a esa información. La ley señala que el secreto empresarial debe protegerse desde todos los ámbitos, no solo el empresarial sino también desde el judicial
En este caso, el juez puede determinar el acceso restringido de determinadas personas a esa información o el carácter secreto de las vistas que pueda ser a puerta cerrada para que nadie conozca dicha información sustraída. Otra de las medidas podría ser la publicación de la sentencia restringida, eliminando la parte que tiene que ve con el secreto de empresa.
La aparición de esta Ley de Secretos Empresariales ha propiciado que se incremente el listado de delitos sobre la responsabilidad penal de las personas jurídicas ¿Cómo valora estos nuevos tipos que han aparecido?
Los nuevos tipos penales son acertados. Estamos protegiendo activos intangibles de la empresa que son fundamentales y que asegura la libre competencia en el mercado y asegura que todos actuamos en las mismas condiciones. Se trata de proteger mejor la empresa y al propio empresario.
Estoy convencida que a medida que se vaya desarrollando esta normativa iremos viendo como aparecen otros tipos penales. Desde la reforma del 2010 parece claro que hay tipos que deberían estar incluidos en delitos por los que responda la persona jurídica. Los que se incluyen con esta reforma me parecen acertados.
Y a nivel global ¿Qué impresión tiene del catálogo general donde están todos los delitos que generan responsabilidad penal de la empresa?
Hay algunos que no deberían estar y faltan algunos que si debieran estar. A este respecto el delito de tráfico de órganos que está desde la reforma del 2010, no es un delito incluido en este listado por el que responda las personas jurídicas y hay otros, como los delitos societarios, que sí deberían estar incluidos.
Estamos hablando de delitos que puede cometer la persona jurídica y puede tener influencia en el exterior, un delito societario donde se pueden falsear actas, entre otros asuntos, si tiene una repercusión empresarial clara. El futuro pasa porque se incluya cualquier delito que tenga incidencia económica en la propia empresa.
“No debemos esperar a que tengamos un problema de sustracción de información: El compliance officer debe ser proactivo”
Por último ¿Qué consejo le daría a un compliance officer que tenga que gestionar diferentes secretos empresariales?
Mas que consejo, lo que yo haría como compliance officer sería el revisar con frecuencia las políticas internas de la empresa para proteger esos secretos. Al mismo tiempo se pueden realizar auditorias reales del cumplimiento de programa de prevención penal de la empresa. Que se revisen realmente los controles y quién accede a esa información. Se trata de que los secretos de empresa estén bien protegidos.
No debemos esperar a que tengamos un problema de sustracción de información. El compliance officer debe ser proactivo en este tipo de trabajo. Se trata, por tanto, de proteger el negocio de la empresa.
El secreto empresarial es uno de los activos principales de la compañía. Al mismo tiempo hay que tener tolerancia cero contra aquellos que incumplan esos deberes de confidencialidad o guardar secretos.