Por Áurea Suñol

 

Introducción

 

La economía digital es quizá el principal motor de la innovación. Los datos son el combustible que la impulsa, incluso en el ámbito de la inteligencia artificial (IA), que desempeña en ella un papel cada vez más destacado (v. Economic impacts of artificial intelligence, Servicios de investigación del Parlamento Europeo, 2019). Al respecto, basta advertir que uno de los pilares esenciales del aprendizaje automático o “machine learning”, uno de los tipos de IA más exitosos en los últimos años (v. infra), son precisamente los datos. Gracias a ellos, los agentes pueden desarrollar algoritmos complejos y tecnologías de IA que hacen posible que ordenadores simulen o reproduzcan habilidades cognitivas similares a las de los seres humanos. La recopilación y tratamiento de datos permiten obtener más datos, los cuales sirven, a su vez, para mejorar el funcionamiento de los algoritmos En palabras de Balkin, parafraseando a Kant, “algorithms without data are empty; data without algorithms are blind (The Three Laws of Robotics in the Age of Big Data).

Dada la trascendencia de los datos sobre los que se asientan las técnicas de análisis del big data no es extraño que los operadores traten de hallar fórmulas que les permitan usarlos en exclusiva. En esta entrada indagaremos si es posible lograrlo a través de la protección jurídica del secreto empresarial (Ley 1/2019, de 20 de febrero, de Secretos Empresariales). A tal fin, será preciso analizar primero si reúnen las condiciones para merecer la condición de secreto empresarial y, en caso, afirmativo, examinar seguidamente hasta dónde alcanza el ámbito de su protección.

 

La noción de secreto empresarial: introducción

 

Como ya tuve ocasión de explicar, la noción de secreto establecida en la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo de 8 de junio de 2016 relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos empresariales) contra su obtención, utilización y revelación ilícitas (en adelante “La Directiva”) y, por ende, en la Ley 1/2019, de 20 de febrero, de Secretos Empresariales (en adelante, “LSE”) es prácticamente idéntica a la contenida en el artículo 39.2 del ADPIC. Y como también he señalado en diversas ocasiones (v. por todas, A. Suñol, El secreto empresarial. Un estudio sobre el artículo 13 de la Ley de competencia desleal, Civitas-Thomson, 2009), nuestros tribunales han aplicado directamente este precepto desde hace más de una década para definir el concepto de secreto empresarial en sede del artículo 13 de la antigua LCD. La única diferencia que existe entre ambas nociones es el matiz que introduce la Directiva y LSE a la necesidad de tener en cuenta el valor potencial que puede tener la información, lo cual, por demás, ya habida sido advertido por la doctrina y hacen los textos estadounidenses (v. por todas, A. Suñol, opcit).

La doctrina ha añadido otra disparidad. A su juicio, ésta radicaría en que el ADPIC no identifica el círculo de personas respecto de las que la información no ha de ser generalmente conocida, para ser secreta, pero sí lo hace respecto de las que ésta no debe ser de fácil acceso (a saber: los círculos en que normalmente se utilice el tipo de información). En cambio, según indican, en la Directiva y la LSE tanto la falta de conocimiento general como la facilidad de acceso se predican de ese concreto círculo de personas (v. por todos, Massaguer, J.  De nuevo sobre la protección jurídica de los secretos empresariales. A propósito de la ley 1/2019, de 20 de febrero, de secretos empresariales, p. 54).

A mi parecer, sin embargo, esa diferencia, al margen de ser formal, no es tal; obedece simplemente a una mala traducción al español del artículo 39.2 del ADPIC. Para advertirlo basta comparar la versión española con la inglesa. Mientras que la primera condiciona el carácter secreto de una información a que ésta no sea “generalmente conocida ni fácilmente accesible para personas introducidas en los círculos en que normalmente se utiliza el tipo de información en cuestión; en la versión inglesa ambos extremos (falta de conocimiento general y la facilidad de acceso) se predican claramente del círculo de personas que normalmente tratan esa clase la información, como fácilmente se sigue de su tenor: “is secret in the sense that it is not, as a body or in the precise configuration and assembly of its components, generally known among or readily accessible to persons within the circles that normally deal with the kind of information in question”

Así pues, a fin de evitar reiteraciones, para la interpretación de los requisitos que ha de reunir una información para merecer la condición de secreto empresarial me remito a lo expuesto aquí (más ampliamente, v. A. Suñol, cit supra). Baste recordar ahora que, en apretado resumen, son los siguientes:

  • que el objeto a proteger sea información,
  • que esa información tenga carácter secreto, esto es: que no sea generalmente conocida por las personas pertenecientes a los círculos en que normalmente se utilice el tipo de información en cuestión, ni fácilmente accesible para ella, en su conjunto o en la configuración y reunión precisas de sus componentes,
  • que tenga además un valor empresarial, ya sea real o potencial, precisamente por ser secreta, y, finalmente,
  • que su titular haya adoptado medidas razonables para mantenerla en secreto.

 

Información

 

El objeto susceptible de ser protegido como secreto empresarial ha de ser “información” (v. art. 2.1 de la Directiva y art. 1.1 LSE). La LSE ha añadido la referencia a “conocimientos”, término ausente en la Directiva. No obstante, esa adición es contraria a este último texto, que no vano excluye las “experiencias” adquiridas por trabajadores durante la prestación de sus servicios (v. art. 1.3 letra b de la Directiva), que naturalmente incluyen “el conocimiento o habilidad para hacer algo” que proporciona la práctica prolongada (v. definición de RAE) de la protección del secreto empresarial (para otra opinión, v., Massaguer, J.  De nuevo sobre la protección jurídica de los secretos empresariales. A propósito de la ley 1/2019, de 20 de febrero, de secretos empresariales, p. 51).

Se dice que el legislador comunitario no tenía en mente la regulación de los “datos” cuando promulgó la Directiva (v. Data Ownership And Access To Data. Position Statement of the Max Planck Institute for Innovation and Competition). Aunque seguramente están en lo cierto, en mi opinión, hay razones sólidas que permiten respaldar su inclusión.

  • El considerando 14 de la Directiva advierte de la importancia de formular una definición homogénea del término «secreto empresarial», sin restringir el objeto de la protección”.
  • Entre las razones que, según el considerando 2º de la Directiva, justifican su promulgación se encuentra el que “los operadores valoran los secretos empresariales (…) y “utilizan la confidencialidad como una herramienta (…) para proteger información de muy diversa índole que no se circunscribe a los conocimientos técnicos, sino que abarca datos comerciales como la información sobre los clientes y proveedores”.

 

El carácter secreto

 

El examen de este requisito en el contexto que nos ocupa exige distinguir entre los datos individualmente considerados y un conjunto de datos (estructurados o no).

Los datos o data aislados, sean técnicos (ad ex. datos generados por dispositivos) o de carácter personal (ad ex. búsquedas o compras realizadas por un individuo, datos sobre su salud) rara vez quedarán cubiertos bajo el paraguas protector del secreto empresarial por una doble razón.

La primera radica en que tratándose de datos de carácter personal (v. para su definición, artículo 4(1) el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, en adelante, “el Reglamento de datos personales”), el derecho de acceso (esto es: derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales) y el derecho a la portabilidad de los datos (esto es: derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado en determinadas circunstancias), que el Reglamento de datos personales atribuye a los interesados (v. respectivamente artículo 15 y 20) parecen comprometer seriamente la posibilidad de conservarlos en secreto. Con todo, debe advertirse que ni el Reglamento de datos personales ni la Directiva de secretos empresariales se pronuncian de forma clara acerca de qué derecho (el derecho acceso y portabilidad de los datos de carácter personal o el derecho del titular del secreto a mantenerlos bajo reserva) prevalece en caso de conflicto. Así, mientras que los artículos 15.4 y 20.4 del Reglamento establecen que el derecho de acceso y el de portabilidad no deben afectar negativamente a los derechos y libertades de terceros, incluidos, los secretos empresariales (v. Considerando 63 del Reglamento donde se mencionan expresamente a estos efectos), el Considerando 35 Directiva de secretos empresariales declara, como hemos visto,  que ésta no debe afectar a los derechos y obligaciones previstos en la Directiva 95/46/CE sobre protección de datos personales y, en particular, y entre otros, el derecho del interesado de acceder a aquellos de sus datos personales que sean objeto de tratamiento. Por tanto, la resolución de este conflicto sólo podrá determinarse atendiendo a las concretas circunstancias del caso (v. en esta línea Malgieri, G., Trade Secrets v Personal Data: a possible solution for balancing rights).

La segunda y más poderosa razón estriba en que los datos individualmente considerados recopilados u obtenidos, cualquiera que sea su naturaleza, difícilmente gozarán de carácter secreto, pues a menudo son públicamente accesibles o fáciles de obtener. Si, por ejemplo, un reloj inteligente permite identificar socavones en la acera, lo mismo pueden hacer las tecnologías de terceros, por lo que esa información es fácilmente accesible para el círculo relevante de personas. Otro tanto puede decirse de los datos publicados en redes sociales abiertas y sin restricciones.

Una particular combinación de un conjunto de informaciones que aisladamente considerados estén total o parcialmente en el dominio público puede merecer la calificación de secreto empresarial. El sustento legal de esta afirmación se encuentra en la propia noción de secreto establecida en la Directiva y la LS, que exige que la información «no sea generalmente conocida ni fácilmente accesible como cuerpo o en la configuración y reunión precisas de sus componentes” y, por tanto, con independencia de que los concretos elementos que la integran individualmente atendidos tengan o no carácter reservado. Ciertamente, determinar si un conjunto de datos goza de carácter secreto no es siempre sencillo en el marco del Big data. Pero normalmente suelen ser datos o metadatos combinados y contextualizados que, en su conjunto, no son, pues, generalmente conocidos ni fácilmente accesibles en su configuración o composición exacta, como tampoco lo es la información obtenida con esos datos (v. Sagstetter T. Big Data und der europäische Rechtsrahmen:  Status quo und Reformbedarf im Lichte der Trade-Secrets-Richtlinie 2016/943/EU p. 6).

Un ejemplo magnífico de ello lo encontramos en el aprendizaje automático (“machine learning”), un subcampo de la IA que consiste en la identificación de patrones en los datos disponibles y en la aplicación subsiguiente del conocimiento adquirido a nuevos datos (v. Comisión Europea, Inteligencia Artificial para Europa, COM (2018) 237 final, p. 11) y que se usa en un amplio abanico de aplicaciones comerciales y de investigación (ad ex. enseñar a los automóviles a conducir de forma autónoma, a reconocer objetos en una imagen, etc.). En él, uno de los elementos esenciales son los datos, que permiten al algoritmo aprender acerca de su entorno e interactuar con él, y éstos pueden mantenerse en secreto (Fromer, J. C.: “Machines as the New Oompa-Loompas:Trade Secrecy, the Cloud, Machine Learning, and Automation”, 2019, pp. 14 y 15). En efecto, obtener la ingente cantidad de datos (Big data) que se precisa (pues cuanto mayor es más fácil resulta descubrir las relaciones entre ellos) es muy costoso y las empresas suelen adquirirlos bajo deber de reserva. Además, esos datos pueden mantenerse internos y, por tanto, inaccesibles a los terceros interesados, pues el programa de ordenador de aprendizaje automático los necesita como input, pero no requiere almacenarlos en su ouput; esto es: en el algoritmo predictivo que genera (v. Lehr, D. y Ohm, P. Playing with the Data: What Legal Scholars Should Learn About Machine Learning, (2017).

Cuestión distinta es que, en determinadas circunstancias, ese conjunto de datos puede perder su carácter secreto. Así sucederá, claro está, cuando estén disponibles libre y gratuitamente en su totalidad. Más problemático es determinar este extremo cuando los datos se transmiten y almacenan en los servidores de los proveedores de servicios en la nube. Obviamente, si éstos se transmiten y almacenan de forma cifrada (ad ex. encriptados) su transferencia no equivale a una comunicación al proveedor de servicios, por lo que mantienen su naturaleza reservada. Pero en el resto de casos, y a salvo de que se incluyan cláusulas de confidencialidad en el contrato, lo cual ni es práctica habitual ni fácil de conseguir, la respuesta dista de ser sencilla. Habida cuenta de la importancia de cooperación y la subcontratación, especialmente en el área de Big data, y de que para muchas empresas es imprescindible almacenar información en la nube, es preciso idear soluciones que permitan afirmar que los datos mantienen su carácter secreto. Una de ellas pasaría por considerar que el proveedor de servicios, en tanto no suele tener el menor interés en conocer los datos, no accede a los mismos en primer lugar. También hay quien ha sugerido considerar ficticiamente que en estos casos la transferencia de datos no equivale a divulgación (comunicación) o que, pese ella no pierde su carácter secreto (v. Sandeen, S.K.: “Lost in the Cloud: Information Flows and the Implications of Cloud, Computing for Trade Secret Protection, 2014). No faltan ejemplos en nuestro ordenamiento que se orientan en esa dirección. Es el caso, por ejemplo, de la inducción a la infracción de un deber de secreto o a la terminación regular de un contrato con el fin de explotar secretos empresariales ajenos (artículo 14 LCD), ya que en muchos casos hay una divulgación ilícita previa del secreto por el inducido. Otro tanto sucede con el tratamiento del adquirente indirecto de secretos empresariales (v. art. 3.4 LS), pues, por definición, éste lo obtiene gracias a una previa divulgación ilícita.

No ofrece dudas aceptar que los conjuntos de datos o datos combinados tienen valor empresarial actual o potencial, precisamente por ser secretos (v. Commission Staff Working Document on the free flow of data and emerging issues of the European data economy Accompanying the document Communication Building a European data economy. Con independencia ahora de que, a nuestro juicio y como se sigue del tenor de la LSE, ese valor es consecuencia del carácter secreto, es claro que a partir de ellos (estén o no estructurados) pueden desarrollarse nuevos productos o servicios o mejorar los existentes. La Comisión Europea ve con recelo, en cambio, que los datos individuales generados por dispositivos e instrumentos interconectados puedan tener valor empresarial (v. el documento citado). A nuestro juicio, sin embargo, en el supuesto extraordinario que éstos tuvieran carácter secreto, su valor podría predicarse casi de forma inmediata. En este sentido, es suficiente con observar que la Directiva y LSE sólo excluyen, en su Exposición de motivos, del concepto de secreto por esta razón, a las informaciones que son “de escasa importancia” y, en todo caso, al menos la Directiva, vincula el valor actual o potencial al perjuicio que causan al titular las conductas relevantes, entre los que se cuentan sus intereses financieros, capacidad estratégica, potencial científico o técnico de la información, etc. (v. Considerando 14 de la Directiva). Extravagante ha de ser, pues, el caso en el que una información (incluidos los datos) no merezca la condición de secreto empresarial por carecer de valor empresarial.

El último requisito que se exige a una información para que pueda calificarse de secreto empresarial es que su titular haya adoptado medidas razonables para conservar su naturaleza reservada. Si con carácter general consideramos que este requisito debe interpretarse de forma laxa, para no socavar los incentivos que procura el régimen de secreto (v. A. Suñol, cit. supra), en el contexto que ahora nos ocupa nos parece imprescindible. De otro modo, los titulares serán reacios a compartir información, por ejemplo, en la nube o en modelos de cooperación o colaboración entre empresas. Por ello, el examen de la concurrencia de este requisito debe tener en cuenta las dos siguientes consideraciones.

Primera, la suscripción de pactos de confidencialidad es una de las medidas de protección jurídica por excelencia. No obstante, en el ámbito del Big data, debido tanto al volumen y velocidad de los datos como a las largas cadenas de suministro y al gran número de participantes, exigirlos de forma exhaustiva puede ser impracticable. Es más, como hemos visto, en ocasiones el usuario de la nube tiene poco margen para alterar los términos del contrato con el proveedor de servicios y, por tanto, para introducir cláusulas de confidencialidad.  Segundo, en la exigencia de que el titular adopte medidas de protección técnicas (ad ex passwords; limitación de acceso, encriptación), con frecuencia, se mezclan incorrectamente dos planos que son muy distintos: las medidas de auto-protección que los operadores racionales deberían adoptar para proteger su información, de un lado, y las que legalmente se les ha de exigir para poder beneficiarse de la protección del secreto empresarial, de otro lado. Desde la primera perspectiva, su naturaleza, variedad y cantidad dependerán del tipo de riesgo de fuga o adquisición ilícita que los operadores deban afrontar, aunque es oportuno advertir que el establecimiento de complejos protocolos de seguridad puede volverse en contra del titular del secreto: si se incumplen, incluso parcialmente, los tribunales pueden verse tentados a considerar (erróneamente a nuestro juicio) que no se han adoptado las medidas de protección de la información que el propio titular estimaba razonables y, por tanto, que ésta no puede calificarse de secreto empresarial. Desde la óptica jurídica, conviene ser flexible y requerir el mínimo indispensable para advertir a terceros del carácter secreto de la información. Todo ello, sin perjuicio, claro está, de que, en tanto se manejen datos de carácter personal, sea preciso adoptar las medidas exigidas por la normativa de protección de datos de esa naturaleza, que nos son las mismas que las se requieren para que una información se proteja como secreto empresarial.

 

La protección conferida por la LSE a los datos que constituyen un secreto empresarial

 

La LSE, como ya hiciera la LCD, no ofrece una protección erga omnes al titular del secreto. Por el contrario, la protección alcanza a determinadas conductas (adquisición, explotación y divulgación) y sólo bajo determinadas circunstancias que el legislador ha considerado ilícitas (v. art. 4 de la Directiva y art. 3.1 y 2 LSE). En particular, y en breve síntesis, su adquisición es ilícita cuando resulta “contraria a las prácticas comerciales leales” (rectius: cuando es ilegítima, por ser ilícita en sí misma o contraria a la eficiencia de las propias prestaciones. V. A. Suñol cit. supra), y su utilización o revelación cuando se hayan obtenido de forma ilícita, o, en resumen, lícitamente, pero bajo deber de reserva o incumpliendo una obligación que limite su uso. Además, la ilicitud alcanza tanto la adquisición, divulgación o explotación de los datos por el “adquirente indirecto” (v. art. 4.4 de la Directiva y art. 3.3 LSE) como la producción, oferta o comercialización importación, exportación o almacenamiento con tales fines de las llamadas “de mercancías infractoras” y, por tanto, y en el marco del Bigdata, de los productos y servicios cuyo diseño, características, funcionamiento, proceso de producción, o comercialización se benefician de manera significativa de datos obtenidos, utilizados o revelados de forma ilícita (v. art. 4.5 de la Directiva y art. 3.4 LSE).

Desde la óptica opuesta, que es la que ahora interesa destacar, el legislador comunitario y, por tanto, también el nuestro, ha establecido expresamente un abanico de conductas que bien se consideran lícitas (v. art. 3 de la Directiva y art. 2.1 y 2 LSE), bien respecto de las cuales, y en palabras de la LSE, “no proceden las acciones y medidas previstas en ella” (v. art. 2.3 LSE), cuya diferencia, por cierto, con el tratamiento de las primeras no alcanzamos a ver muy bien a efectos prácticos.  Entre las conductas que se estimas lícitas, dos merecen especial atención en el contexto del big data; a saber: el descubrimiento o creación independiente de los datos y su obtención a través de ingeniera inversa (v. art. 4 de la Directiva y art. 2.1 b LSE).   La primera de esas conductas posibilita que los terceros puedan obtener o desarrollar los mismos datos y, posteriormente explotarlos o divulgarlos, lícitamente, lo cual confirma que el ordenamiento no otorga al titular del secreto un derecho de exclusiva. Por su parte, la licitud de la adquisición de los datos mediante ingeniería inversa, hipotéticamente asegura que no se socaven los incentivos que procura el sistema de patentes y, con ello, los exigentes requisitos materiales – novedad, altura inventiva y aplicación industrial- que deben satisfacerse para acceder a la protección que éste otorga. En la medida en que no parece dudoso que un conjunto de datos han de entenderse incluidos en el término “objetos” a los efectos de los mencionados preceptos, esta práctica ha de permitir, entre otras conductas, analizar los datos “hacia atrás” de forma que permita “des-anonimizarlos”, lo cual es relevante tratándose, por ejemplo, de una lista de clientes eventualmente anónimos.

Con todo, conviene no ser demasiado optimistas: en el contexto que nos ocupa, la licitud de estas prácticas puede resultar, a efectos prácticos, baldía.  En efecto, hay que observar, de entrada, que tanto la Directiva como la LSE permiten que pueda prohibirse la ingeniería inversa a través una cláusula contractual válida, lo cual, dada la importante función que ésta asume en el estímulo a la innovación (v. por todos, Samuelson P. y Scothmer, S., The Law and Economics of Reverse Engineering) resulta tan sorprendente como reprochable. Al respecto, basta advertir que, salvo en el ámbito de los programas de ordenador, cuya normativa impone restricciones importantes a la posibilidad de pactar este tipo cláusulas (v. arts. 6 y 8 de la Directiva 2009/24/CE del Parlamento Europeo y del Consejo, de 23 de abril de 2009 , sobre la protección jurídica de programas de ordenador y art. 100. 5 LPI), supone dejar al arbitrio del titular del secreto el que los terceros puedan realizar ingeniería inversa y, por ello mismo, vaciar completamente de contenido la licitud de la obtención del secreto mediante está práctica.

Pero aun cuando se permita, lo cierto es que, en determinados casos, no es posible obtener los datos a través de ingeniería inversa. Así sucede, por ejemplo, en el aprendizaje automático, pues los datos no pueden discernirse del programa de ordenador basado en esa técnica y puesto en el mercado, por la sencilla razón de que no están contenidos en él y los modelos predictivos y algoritmos desarrollados sobre la base de esos datos son muy complejos y difícilmente permiten obtener los datos relevantes introducidos (v. para la explicación, Fromer, J. C.: “Machines as the New Oompa-Loompas:Trade Secrecy, the Cloud, Machine Learning, and Automation”, 2019, con ulteriores citas) Por otro lado, a menudo los conjuntos de datos son muy difíciles de obtener de manera independiente. No sólo porque pocas empresas disponen de los vastos recursos que se requieren para adquirirlos o generarlos, sino porque además los operadores se sirven de otros recursos que hacen materialmente imposible obtenerlos. Un ejemplo ilustrativo de ello son las patentes consistentes en tecnologías que a través de su uso o puesta en práctica generan datos valiosos (v. Simon B.M. y Sichelman, T. “Data-Generating Patents”). La patente denominada “PageRank de la que hasta hace bien poco era titular Google, es una muestra. A través de ella, Google obtuvo infinidad de datos sobre ubicaciones, preferencias, consultas, datos personales etc. de los usuarios que el resto de competidores no pudieron obtener durante la vigencia de la patente, lo cual, como advierten los autores citados, en tanto que los ha mantenido en secreto, le ha permitido obtener una ventaja competitiva más allá de la expiración de la patente, en tanto que los ha usado, a su vez, para mejorar las búsquedas realizadas por los usuarios y enviar publicidad adaptada a cada uno de ellos.

Foto: Acuarela Isabel Lucea