Artículo de opinión de Eva Soler Albiac, compliance officer de Zambon Iberia y José Ignacio Olleros Izard, socio de Andersen Tax & Legal. Ambos son miembros del Grupo de Trabajo del Sector Farmacéutico de la Asociación Española de Compliance (Ascom).
A lo largo de este artículo se hace un breve recorrido sobre las importantes funciones del compliance officer en relación con la necesidad de proteger los secretos empresariales en el ámbito del sector farmacéutico, explicándose su compatibilidad con las obligaciones de transparencia que recaen sobre las entidades farmacéuticas, y la protección de estos bienes inmateriales de incalculable valor.
Lo primero que llama la atención es la amplitud del concepto de secreto empresarial contemplado en el preámbulo y la Ley 1/2019 en el que se incluyen “datos empresariales relativos a clientes y proveedores”, “planes comerciales” así como “cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero”….que sea…. “objeto de medidas razonables por parte de su titular para mantenerlo en secreto”.
¿Qué medidas se consideran razonables adoptar para mantener en secreto aquello que la empresa precisa proteger? La palabra “razonable” es algo ambigua. La Ley nos aclara que se excluye del ámbito de protección la información de escasa importancia, la experiencia y las competencias adquiridas por los trabajadores durante el normal transcurso de su carrera profesional y aquella información que sea de conocimiento general o fácilmente accesible en los círculos en que normalmente se utilice el tipo de información en cuestión. Por su parte, la jurisprudencia del Tribunal Supremo, anterior a la entrada en vigor de la Ley citada, estableció que son secretos empresariales aquellos que, de ser conocidos contra la voluntad de la empresa, puedan afectar a su capacidad competitiva.
El preámbulo de la Ley 1/2019 enumera una serie de factores que contribuyen a que las entidades innovadoras estén cada vez más expuestas a riesgos derivados de prácticas desleales que persiguen la apropiación indebida de los secretos empresariales. Existen además, circunstancias que agravan estos riesgos tales como la globalización, la creciente externalización de servicios etc.
Es evidente que en el sector farmacéutico debemos tener en cuenta, entre la información a proteger, la relativa al coste de los medicamentos, los planes de negocio, procesos de fusión, informes sobre farmacovigilancia – sin perjuicio del deber de compartir la información contenida en los mismos con las autoridades competentes, en su caso-. Además, es necesario prestar especial atención a la protección de la información confidencial, incluidos datos personales sensibles, o los secretos empresariales que confiemos a terceros o proveedores en los que la empresa externalice ciertos servicios.
Es cierto que, en el ámbito de lo ensayos clínicos, el Reglamento UE 536/2014, impone la obligación de volcar en un portal único público de la Unión Europea datos de gran relevancia que podrían bordear los límites de los secretos empresariales que legítimamente las empresas quieren preservar. A estos efectos es importante tener en cuenta que el artículo 81.4 del Reglamento citado justifica la confidencialidad de fragmentos de estos ensayos, entre otros motivos, no sólo por necesaria protección de datos personales sino también para proteger de la información comercial confidencial que en ellos se contenga.
Es importante traer a colación, la Ley de Transparencia 19/2013, desprendiéndose de su lectura, en particular del artículo 14 j), la necesidad de protección de los secretos empresariales, la propiedad intelectual e industrial. A este respecto, y como ejemplo ilustrativo, en la resolución 478/2019 del Consejo de Transparencia y Buen Gobierno de 26 de septiembre de 2019, se manifiesta la necesidad de las entidades farmacéuticas de realizar restricciones informativas cuando se puedan perjudicar los intereses económicos y comerciales en las licitaciones públicas. En conclusión, a pesar de la necesidad de transparencia, existe una compatibilidad con la protección de los secretos empresariales.
¿Qué medidas y controles debe adoptar la empresa y el compliance officer para protegerse ante estos riesgos? No olvidemos que puede incurrir en responsabilidad si no es proactivo en la realización de estos controles o si, conociendo que se está realizando un acto ilícito por parte de la Compañía, no hace nada para evitarlo.
Cualquier directivo de empresa, que sea diligente y responsable considerará que los secretos de empresa son importantes para el negocio que gestione y dirija. Lo primero que deberá hacer es un inventario de los secretos objeto de protección lo que puede conllevar un importante esfuerzo. Es primordial distinguir entre información confidencial y secretos empresariales, que puede parecer lo mismo, pero deberían tener tratamientos distintos si queremos ser prácticos y no ahogar a nuestras compañías. Identificar secretos, requiere un razonamiento interno formulándonos preguntas como ¿Estaríamos dispuestos a iniciar un proceso judicial si algún empleado/exempleado se llevara esta información a un competidor? Si la respuesta es negativa es que estamos ante una información que debería ser catalogada como confidencial pero no secreta. En cambio, si la respuesta es afirmativa, debemos ponernos manos a la obra. El siguiente paso es inventariar toda la información analizada y establecer medidas razonables de seguridad con el fin de proteger esta información. Afortunadamente todos hemos hecho un sprint con el RGPD y tenemos claros los controles de seguridad de los que dispone nuestra empresa y podemos aprovechar la sinergia.
Es frecuente clasificar los controles desde cuatro puntos de vista: Técnicos, legales, organizativos y formativos.
Dentro del ámbito de los controles técnicos debe incluirse medidas de ciberseguridad, monitorización de correos electrónicos, y auditorías internas preventivas periódicas.
Entre los controles legales debe pensarse en las cláusulas a incluir en los contratos laborales que impongan el deber de confidencialidad de los trabajadores y las medidas disciplinarias a imponer en caso de vulneración de dicha obligación.
Dentro de los controles organizativos, se puede evaluar la categoría con la que inventariamos la información estableciendo grupos de usuarios que tengan acceso a determinada información y decidir a quién se da los permisos para acceder a la misma. Puede ser aconsejable que un único empleado sea el que tenga conocimiento completo de la totalidad de los procesos industriales y comerciales de la Compañía. No olvidemos que la fuga de información protegida la realizan empleados, exempleados y colaboradores de las empresas con acceso directo a la información sensible.
Si hay diferencias de opiniones a la hora de implantación de los controles nos podemos apoyar en el Comité de Compliance o bien crear un Subcomité que sea específico para los Secretos Empresariales.
¿Deberíamos tener un Plan de contingencia ante una fuga de información? Podemos tener uno específico o bien incluirlo en el manual de crisis de la compañía, pero lo que está claro es que debe existir una coordinación con el Área de Recursos Humanos.
Finalmente, no olvidemos que todos los controles anteriores caerían en saco roto si no se toman iniciativas activas de información y formación y se active el canal de denuncias ante cualquier vulneración de la obligación de guardar secreto.
Eva Soler Albiac es compliance officer Zambon Iberia y José Ignacio Olleros Izard es socio de Andersen Tax & Legal. Ambos son miembros del Grupo de Trabajo de Sector Farmacéutico de la Asociación Española de Compliance (Ascom).