En los últimos meses se han dictado distintas resoluciones judiciales en materia de protección de los secretos empresariales que merecen ser comentadas.

La importancia de los pactos de confidencialidad

En primer lugar, la Sentencia de la Audiencia Provincial de Barcelona de 20 de mayo de 2022 estima una reclamación de 4,2 millones de euros en la que se alegaba que la compañía demandada había realizado una conducta desleal por la explotación de secretos empresariales que fueron facilitados bajo un acuerdo de confidencialidad.

Esta sentencia es relevante, no solo por el elevado importe de la indemnización que se concede, sino por la importancia que se otorga a la existencia de un pacto de confidencialidad, que pretendía impedir que la demandada utilizase la información en la forma que finalmente fue utilizada.

La Audiencia Provincial señala la firma del contrato de confidencialidad como uno de los elementos clave del asunto.

Según la sentencia, la demandada actuó deslealmente para conocer los secretos empresariales de la demandante, con el fin de conseguir la gestión de un complejo hotelero que la demandante pretendía comenzar a explotar.

De esta forma, la demandante perdió la oportunidad explotar el negocio al que se refería la información protegida.

Protección de secretos empresariales en el proceso judicial

Por otro lado, el Juzgado de lo Mercantil 10 de Barcelona también ha dictado recientemente distintas resoluciones dirigidas a acordar medidas contempladas en la Ley de Secretos Empresariales para preservar la confidencialidad de la información que pueda constituir un secreto empresarial y haya sido aportada a un procedimiento judicial.

Este ha sido, por ejemplo, el caso de las medidas de no utilización ni divulgación de la información fuera del procedimiento judicial.

Asimismo, también se han acordado medidas dirigidas a conceder acceso a la información únicamente de forma individualizada a determinadas personas.

Consideraciones

Es muy beneficioso que los tribunales se vayan habituando a aplicar estas medidas de protección de la información confidencial, pues redundará en una mayor protección de los secretos empresariales y en una mayor seguridad jurídica para los titulares de estos.

La entrada Protección judicial de los secretos empresariales   aparece primero en Faus & Moliner Abogados.

Conviene recordar que la “Directiva Whistleblowing” (Directiva 2019/1937) obliga a las entidades del sector privado con más de 50 trabajadores, y a todas las del sector público, a contar con un canal de denuncias. Aunque el plazo para implementar esta Directiva finalizó el pasado 17 de diciembre y España aún no lo hecho, es conveniente que las compañías dispongan de las medidas necesarias para cumplir con lo establecido en esta norma., ya sea para la creación de dicho canal, o bien, en caso de disponer de uno, adaptando el existente a los nuevos estándares.

Canal de denuncias y datos personales

Diversas normas, guías y directrices han ido perfilando cómo deben organizarse estos canales. Así, la Ley Orgánica 3/2018, de Protección de Datos Personales (art. 24) ha regulado el tratamiento de los datos personales en estos canales. Un aspecto importante es durante cuánto tiempo pueden conservarse tales datos. La Ley prevé que los datos deberán suprimirse transcurridos 3 meses desde su introducción en el sistema de denuncias. No obstante, el pasado 22 de noviembre la Agencia Española de Protección de Datos (AEPD), en respuesta a una consulta de la Asociación Española de Compliance, ha aclarado que en caso de que la denuncia pueda considerarse fundada y dé lugar a una concreta investigación los datos podrán mantenerse más allá de los 3 meses, pero ello deberá hacerse no en el sistema de información de denuncias sino en otros sistemas de la compañía (ya sean del comité de compliance, o del órgano que tenga a cargo la gestión de recursos humanos).

Asimismo, la AEPD recuerda que en su guía sobre protección de datos en las relaciones laborales, de mayo 2021, también analiza estos y otros aspectos de interés. Así, por ejemplo, aclara que es primordial que los trabajadores estén informados de la existencia del canal de denuncias y del tratamiento de los datos que conlleva la formulación de una denuncia. Esta información se puede facilitar bien directamente en el contrato de trabajo, o por ejemplo mediante circulares informativas al personal.

La entrada Compliance, canales internos de denuncias y gestión de datos personales aparece primero en Faus & Moliner Abogados.

La LOPD simplifica el deber de información que tiene el responsable del tratamiento frente al afectado cuyos datos sean objeto de tratamiento. Así, no es preciso que el responsable facilite de entrada toda la información que indica el RGPD, sino que basta con que inicialmente le facilite la información básica prevista en la LOPD, siempre que en dicho momento también indique un email u otro medio (por ejemplo, mediante un enlace a la política de privacidad) que permita al afectado acceder de forma sencilla e inmediata a la restante información.

Por otro lado, la LOPD aclara bajo qué circunstancias pueden tratarse los datos de contacto y del puesto de trabajo de las personas físicas que presten sus servicios en personas jurídicas, sin que sea necesario contar para ello con el consentimiento de dichas personas físicas (es decir, que dicho tratamiento pueda basarse en el denominado “interés legítimo”).

En concreto, la LOPD establece que deben cumplirse dos requisitos: (i) que los datos se traten sólo para localizar profesionalmente a la persona física, y (ii) que la finalidad del tratamiento sea únicamente mantener relaciones con la entidad en la que dicha persona física presta sus servicios.

El mismo criterio sigue la LOPD con respecto a los datos de contacto de los empresarios individuales y profesionales liberales.

Datos de salud e investigación

La LOPD introduce diversas previsiones encaminadas a garantizar el adecuado desarrollo de la investigación biomédica, regulando los supuestos concretos en los que es posible tratar datos de salud sin contar necesariamente con el consentimiento del afectado (por ejemplo, para garantizar la calidad y seguridad sanitarias, o por motivos de farmacovigilancia). Asimismo, la LOPD abre la puerta al uso del llamado “big data” en el ámbito sanitario, favoreciendo el acceso a los datos de salud contenidos en historias clínicas y registros de pacientes, siempre que se cumplan con las adecuadas garantías del derecho fundamental a la protección de datos. Así, establece las condiciones en las que será posible la reutilización de datos personales con fines de investigación.  En estos casos no será necesario contar con un consentimiento adicional del afectado, sino que será válido su consentimiento inicial siempre que permita el uso de sus datos personales para áreas de investigación científicamente relacionadas con el estudio inicial. No obstante, deberá cumplirse igualmente con el deber de informar al afectado. Por último, la LOPD concreta las medidas que deben adoptarse para el uso de datos seudonimizados, los cuales también son datos personales.

En todos estos supuestos se requerirá el informe previo favorable del comité de ética de la investigación, reforzándose así su papel en el ámbito de la protección de datos.

La entrada Novedades en el tratamiento de datos personales y de salud aparece primero en Faus & Moliner Abogados.

La Agencia Española de Protección de Datos (“AEPD”) ha publicado recientemente un informe en el que analiza la incidencia que el nuevo Reglamento General de Protección de Datos (“RGPD”), aprobado por el Parlamento Europeo, y el proyecto de LOPD –actualmente en tramitación– tendrán en el ámbito de la investigación biomédica. Dicho informe ha venido motivado por la preocupación mostrada por la comunidad científica de que estas nuevas normas puedan exigir a partir de ahora que los pacientes deban prestar su consentimiento de modo específico para cada concreta investigación en la que participen.

Interpretación flexible

En opinión de la AEPD, el RGPD y el proyecto de LOPD no sólo modifican el régimen contenido tanto en la mencionada Ley de investigación biomédica como en el RD 1090/2015 sobre ensayos clínicos con medicamentos, sino que permiten realizar una interpretación más flexible del alcance que puede darse al consentimiento prestado de conformidad con la misma, superando incluso la interpretación más restrictiva de la Ley de Investigación Biomédica.

Consentimiento “específico e inequívoco”

Considera la AEPD que a partir de la aplicación del RGPD no será necesario que la persona preste su consentimiento para cada investigación concreta; ni siquiera para la realización de investigaciones en una rama muy delimitada como, por ejemplo, un determinado tipo de cáncer. Por el contrario, teniendo en cuenta la interpretación derivada directamente del RGPD, será suficientemente inequívoco y específico el consentimiento prestado en relación con una rama amplia de investigación como, por ejemplo, la investigación oncológica, o incluso para ámbitos más extensos.

Asimismo, en el informe emitido por la AEPD se aprovecha para recordar que la Ley 14/2007 también contempla la posibilidad de realizar investigaciones sin contar con el consentimiento de los pacientes, cuando tales investigaciones sean de interés general y hayan sido autorizadas por un Comité de Ética de la Investigación, previa verificación del cumplimiento de unas condiciones previstas en dicha Ley.

A partir de ahora habrá que ver si la doctrina sentada por la AEPD con este informe es seguida por los Comités Éticos cuando autoricen las investigaciones.

La entrada Las nuevas normas sobre protección de datos facilitan la investigación biomédica aparece primero en Faus & Moliner Abogados.

Muchos de los conceptos y mecanismos que contiene el RGPD ya están previstos de forma muy similar en la normativa actualmente vigente. Por ello, las compañías que hoy en día vienen cumpliendo con la normativa actual tienen una buena base para progresar hacia una correcta aplicación del RGPD. No obstante, el RGPD sí modifica ciertas bases del régimen actual y contiene nuevas obligaciones. A continuación nos referimos a algunas de las que consideramos más relevantes.

Principio de responsabilidad

A partir de ahora quienes traten datos personales ya no deberán inscribir los ficheros en la Agencia de Protección de Datos, ni tampoco disponer de un documento de seguridad. El RGPD no exige el cumplimiento de unas formalidades concretas, sino que deja a cada compañía la libertad de organizarse como crea conveniente para cumplir con el RGPD. Para ello, deberán realizar evaluaciones de impacto, analizando los posibles riesgos en el uso de datos personales, en función de qué datos traten, cómo los traten y con qué finalidad. Es conveniente que todos estos procesos estén documentados, al objeto de poder demostrar que se cumple con el RGPD.

Información y consentimiento

Para conseguir una mayor transparencia, la información que se debe facilitar al interesado cuyos datos se vayan a utilizar deberá ser más completa, y se proporcionará de modo conciso y con un lenguaje sencillo. Por su parte, el consentimiento que preste dicho interesado ahora deberá ser “inequívoco”, es decir, mediante una clara acción afirmativa del interesado. No resultará ya admisible el consentimiento otorgado de forma tácita. Cuando se recojan datos de salud, biométricos o genéticos, dicho consentimiento deberá ser, además, explícito.

Implicaciones prácticas

Aunque las compañías puedan estar al día de sus obligaciones en materia de protección de datos, es muy recomendable que revisen su forma de actuar en este ámbito. En particular, es recomendable revisar el contenido de las cláusulas informativas y la forma en que se obtienen los consentimientos. También conviene revisar las políticas de privacidad y los concretos procedimientos que puedan tener implementados las compañías para, en caso de ser necesario, adaptarlos a las exigencias del RGPD.

Algunos aspectos del RGPD serán complementados por la nueva ley de protección de datos que en los próximos meses se aprobará en España. Nos referiremos a estas cuestiones en próximos Cápsulas.

La entrada Comienza la cuenta atrás para la aplicación del Reglamento Europeo de Protección de Datos aparece primero en Faus & Moliner Abogados.

Uno de los usos principales del Big Data es el establecimiento de correlaciones y elaboración de patrones o perfiles de consumidores (profiling). Tiene especial interés en innumerables sectores en los que se lleva a cabo la venta por internet, e incluso en la venta presencial, a través de las llamadas “tarjetas de fidelización”, que permiten conocer los hábitos de compra de un ingente número de consumidores. El Big Data también es una herramienta eficaz en sectores como el sanitario, donde existen ya muchos ejemplos de su eficacia, por ejemplo para reducir los tiempos de ingresos hospitalarios, o para predecir futuras enfermedades y riesgos sanitarios.

Pese a las grandes ventajas que puede comportar, el Big Data también plantea evidentes riesgos cuando se contienen datos personales. Piénsese, por ejemplo, en el uso indiscriminado de tales datos sin preservarse adecuadamente la privacidad de las personas, o sin adoptarse las medidas de índole jurídica, organizativa o técnica que resulten precisas. El Código da unas pautas de actuación para minimizar o eliminar dichos riesgos en tales proyectos, en línea con lo dispuesto en el nuevo Reglamento Europeo de Protección de Datos, que será aplicable en Mayo de 2018.

Principios básicos

El Código recomienda considerar la privacidad desde el diseño (Privacy by Design), con el objetivo de asegurar que las garantías de protección de datos se incorporan ya desde la fase inicial de planificación del proyecto. Asimismo, promueve la autorregulación por parte de las empresas que gestionen proyectos de Big Data, mediante la elaboración de códigos de conducta en la materia (Accountability). También exige la realización de evaluaciones de impacto para valorar los posibles riesgos, entre otros, en aquellos casos en los que se manejen datos relativos a la salud.

Aspectos legales y técnicos

Sobre la base de los riesgos que originan estos tratamientos para la privacidad de las personas, el Código identifica aquellos aspectos que deben ser abordados para que los proyectos de Big Data sean conformes a la normativa sobre protección de datos. Por una parte, trata los aspectos legales más relevantes a considerar, como la transparencia en la información previa facilitada a los afectados, o la obtención del consentimiento y el ejercicio de derechos por dichos afectados, o qué sucede con usos posteriores, no previstos cuando se obtuvo el consentimiento informado. Por otra parte, el Código revisa las diferentes cuestiones técnicas y de seguridad a tener en cuenta en estos proyectos. En concreto, identifica las estrategias de privacidad más usuales: anonimización, cifrado, control de acceso y trazabilidad.

La entrada Publicado el Código de Buenas Prácticas en protección de datos para proyectos de “Big Data” aparece primero en Faus & Moliner Abogados.

En el año 2007 el administrador de una inmobiliaria italiana demandó a la Cámara de Comercio de su localidad. Consideraba que los inmuebles que había construido no se vendían porque en el registro de sociedades constaba que había sido administrador de otra sociedad, declarada en concurso de acreedores en 1992 y liquidada en 2005. El tribunal que conoció en primer lugar del asunto le dio la razón al administrador y exigió a la Cámara de Comercio que hiciera anónimos los datos que le vinculaban con la sociedad liquidada, y que lo indemnizara por los perjuicios causados. Disconforme con dicha decisión, la Cámara de Comercio recurrió hasta el Tribunal Supremo, quien planteó diversas cuestiones prejudiciales ante el Tribunal de Justicia de la Unión Europea (TJUE). En síntesis, se preguntaba al TJUE si la Directiva 95/46/CE sobre protección de datos personales se opone a que cualquier persona pueda acceder, de forma ilimitada en el tiempo, a los datos relativos a las personas físicas que figuran inscritos en el registro mercantil.

Publicidad registral vs. intimidad

El TJUE recuerda que la publicidad del registro mercantil busca proteger los intereses de terceros en sus relaciones con las sociedades. Dado que las sociedades sólo responden frente a terceros con su patrimonio, pueden producirse situaciones en las que sea necesario disponer de los datos personales de sus representantes –administradores y apoderados- que consten en dicho registro, incluso muchos años después de que la compañía se haya liquidado (por ejemplo, para exigirles cualquier responsabilidad). Según el TJUE, esta injerencia en el derecho a la protección de los datos personales no es desproporcionada en la medida en que (i) en el registro mercantil sólo está inscrito un número limitado de datos personales de dichos representantes (su identidad y funciones dentro de la misma), y (ii) las personas que deciden voluntariamente representar a la compañía están obligadas a hacer públicos tales datos personales.

Análisis caso por caso

No obstante, el TJUE no excluye que, en situaciones concretas, haya razones legítimas que puedan justificar, excepcionalmente, que el acceso a los datos personales obrantes en el registro se limite, una vez haya expirado un plazo suficientemente largo tras la liquidación de la sociedad de que se trate, y sólo se permita a terceros que justifiquen un interés específico en su consulta. A juicio de dicho tribunal, tal limitación del acceso a los datos personales deberá realizarse caso por caso, e incumbirá a cada Estado Miembro decidir si desea o no establecer esta limitación del acceso.

En el caso concreto resuelto por el TJUE, se considera que las razones esgrimidas por el administrador italiano no son suficientes para justificar una limitación en el acceso por parte de terceros a los datos de dicho administrador inscritos en el registro mercantil.

La entrada Datos personales inscritos en el Registro Mercantil y “derecho al olvido”, un equilibrio difícil aparece primero en Faus & Moliner Abogados.

Tanto la Ley Orgánica 15/1999 como el Real Decreto 1720/2007 contienen muchas previsiones similares a las que establece el RGPD. Las empresas que en la actualidad cumplan con tales previsiones tienen ya una buena base de partida para cumplir con el RGPD. Aun así, el RGPD incorpora diversas novedades a las que las empresas deberán en todo caso adaptarse. La AEPD ha publicado recientemente diversas guías y directrices para ayudar a las empresas en dicha labor de adaptación.

Consentimiento informado

Con el RGPD para tratar datos personales será siempre preciso contar con el consentimiento inequívoco del interesado. Dicho consentimiento deberá haberse prestado mediante una manifestación o una clara acción afirmativa de dicho interesado. Ya no se admitirán, como hasta ahora, formas de consentimiento tácito o por omisión. Aquellos tratamientos iniciados con anterioridad a la aplicación del RGPD seguirán siendo válidos sólo en la medida en que hayan sido consentidos de forma explícita. Asimismo, entre otras novedades, el RGPD también exige un mayor nivel de información a facilitar a los interesados, sobre todo en lo relativo a la base jurídica que habilite para el tratamiento de sus datos personales, así como en el alcance de los derechos conferidos a dichos interesados. Ello implicará la revisión, no sólo de los consentimientos informados habitualmente empleados, sino también las cláusulas que a este respecto se incluyen en los contratos y las políticas de privacidad.

Responsables / encargados del tratamiento

Al igual que hasta ahora, las relaciones entre el responsable y el encargado del tratamiento deberán formalizarse en un contrato, si bien ahora el RGPD regula de forma más minuciosa su contenido mínimo. El responsable tendrá, además, que adoptar medidas apropiadas para garantizar que dicho encargado podrá llevar a cabo el tratamiento de acuerdo con el RGPD.

Es recomendable, pues, que aquellas empresas que traten datos personales no esperen hasta Mayo de 2018 y se adapten al RGPD lo antes posible. Dicho proceso de adaptación sin duda requerirá tomar decisiones y adoptar medidas que precisan de un plazo prudencial para su puesta en práctica. Especial cuidado se requerirá sobre todo en aquellos casos en que se manejen datos sensibles, como por ejemplo los datos relativos a la salud de las personas.

La entrada Cuenta atrás para la adaptación al nuevo marco europeo sobre protección de datos personales aparece primero en Faus & Moliner Abogados.

La Ley 19/2013 de transparencia, acceso a la información pública y buen gobierno, como es sabido, dispone que las solicitudes de acceso a información en poder de las Administraciones Públicas podrán limitarse cuando dicha información contenga datos de carácter personal.

Con el objetivo de hacer compatibles los principios de transparencia y acceso a la información pública con el derecho fundamental a la protección de los datos de carácter personal, la Agencia Española de Protección de Datos (AEPD) publicó el pasado 13 de octubre dos documentos con instrucciones sobre cómo reutilizar la información generada por el sector público y sobre cómo anonimizar los datos personales contenidos en la misma.

Orientaciones de la AEPD

La AEPD, a través de dichos documentos, propone una serie de medidas a fin de que las Administraciones Públicas puedan proporcionar a los particulares la información que obra en su poder -lo que se conoce como “reutilización de la información pública”- respetando al mismo tiempo las garantías en materia de protección de datos de carácter personal.

En particular, los documentos incluyen instrucciones muy detalladas sobre cómo llevar a cabo la anonimización de la información pública, de modo que se minimicen los riesgos de que la información solicitada por los administrados permita identificar a las personas físicas a las que pueda referirse dicha información. En este sentido, aquel administrado a quien se le haya denegado el acceso a una información sobre la base de que la misma contiene datos personales, podrá requerir a la Administración Pública responsable que lleve a cabo un proceso de anonimización de la información de acuerdo con las Orientaciones de la AEPD.

Anonimizar no es lo mismo que reelaborar

Estas orientaciones llegan además en un momento en el que el margen de discrecionalidad del que disponen las Administraciones Públicas para denegar el acceso a la información pública se ve cada vez más restringido. Prueba de ello es la resolución de 23 de septiembre de 2016 del Consejo de Transparencia y Buen Gobierno, en la que este organismo considera incorrecta una decisión del Ministerio de Fomento que había denegado el acceso al expediente de una obra apoyándose en que para ello tendría que reelaborar dicha información.

La necesidad de reelaborar la información solicitada constituye efectivamente un motivo válido para denegar el acceso a la misma. El Consejo de Transparencia y Buen Gobierno, sin embargo, no da por buena esta argumentación, ya que el Ministerio de Fomento se había limitado a invocar esta excepción al derecho de acceso a la información pública, sin justificar los motivos por los que la reelaboración de la información solicitada resultaba necesaria. En este sentido, el Consejo de Transparencia y Buen Gobierno destaca que el hecho de que la información solicitada deba ser previamente anonimizada no implica que esté siendo sometida a un proceso de reelaboración, y que, por tanto, el acceso a la misma pueda ser denegado por este motivo.

La entrada Acceso a la información pública y protección de datos personales aparece primero en Faus & Moliner Abogados.

Adecuado nivel de protección

El TJUE consideró que la Comisión no había comprobado si EEUU garantizaba que las empresas afectadas efectivamente otorgaran un nivel de protección sustancialmente equivalente al exigible en la Unión Europea, motivo por el cual declaró inválido dicho Acuerdo.

El Escudo de la Privacidad o “Privacy Shield”, adoptado por la Comisión de común acuerdo con los EEUU, sustituye al Acuerdo de Puerto Seguro, exigiendo unas más rigurosas obligaciones a las empresas estadounidenses, a fin de garantizar este adecuado nivel de protección para los datos personales transferidos a EEUU Para asegurar dicho cumplimiento, el Escudo de la Privacidad prevé diversas medidas.

Medidas para asegurar el cumplimiento

En primer lugar, el Departamento de Comercio de EEUU efectuará controles periódicos sobre las empresas estadounidenses que reciban datos personales y se hayan adherido al Escudo de la Privacidad, con el fin de garantizar que sigan las normas que ellas mismas han suscrito. Si no cumplen, podrán ser sancionadas e incluso retiradas de la lista.

En segundo lugar, el acceso a datos personales por la administración estadounidense estará sujeto a limitaciones, salvaguardias y mecanismos de supervisión claros. Ya no habrá una vigilancia masiva indiscriminada de datos.

En tercer lugar, cualquier ciudadano europeo que considere que sus datos han sido utilizados indebidamente dispondrá de varias vías de reclamación: (i) directamente ante la propia empresa infractora; (ii) ante la autoridad nacional de protección de datos de su país (la cual colaborará con la Comisión Federal de Comercio para garantizar que dicha reclamación se investigue y resuelva); o (iii) a través de alguno de los mecanismos gratuitos de resolución alternativa de litigios al que se haya adherido la empresa infractora. Ésta deberá especificar en su política de privacidad cuál es el mecanismo elegido y ofrecer un enlace a la página web de dicho organismo.

Si la reclamación no se resuelve por ninguna de las anteriores vías, se prevé un mecanismo de arbitraje ante el llamado “Privacy Shield Panel”.

La entrada Entra en vigor el “Escudo de la Privacidad”: más protección para las transferencias de datos personales desde la Unión Europea a los EEUU aparece primero en Faus & Moliner Abogados.