Eva Carballo Garcia, asociada senior del área Penal de Broseta
Imaginemos una escena aparentemente inofensiva: una directiva se enfrenta a un nuevo proyecto estratégico. Con la intención de contrastar criterios, reenvía a su marido —administrador de otra compañía— varios correos internos que contienen una propuesta de expansión internacional.
No existe ánimo de perjudicar a la empresa. No consta utilización posterior de la información. Ningún competidor llega a explotar esos datos. Y, sin embargo, la conducta constituye un ilícito penal.
La Audiencia Provincial de Barcelona confirmó la condena a la directiva por delito de revelación de secretos empresariales¹, reafirmando que el bien jurídico protegido no es la intención subjetiva del autor, sino la capacidad competitiva de la empresa en el mercado.
Ello plantea una cuestión que trasciende el ámbito estrictamente penal: ¿protegen adecuadamente las empresas aquella información que constituye su verdadera ventaja competitiva? ¿podrían sostener ante un juez que esa información estaba jurídicamente configurada como secreto de empresa?
En la economía actual, el valor empresarial descansa de forma cada vez más habitual en activos intangibles: know-how, desarrollos técnicos, estructuras organizativas, políticas internas, planes de negocio, información financiera sensible, precedentes de transacciones o carteras de clientes, entre muchos otros ejemplos. Tan es así que un estudio reciente ha concluido que en torno al 82% del valor de las compañías cotizadas en el S&P 500 se corresponde con activos intangibles ². Sin embargo, la relevancia económica o comercial de la información no implica por sí sola su protección penal, sino que es necesario que, con carácter previo, la propia empresa haya identificado como estratégica, la haya delimitado como secreto y la haya protegido de manera efectiva.
Desde esta premisa, resulta imprescindible detenerse en qué conductas sanciona nuestro ordenamiento y qué se exige para que una información pueda ser considerada, en sentido jurídico, un secreto de empresa.
En el ámbito penal, la protección de los secretos empresariales se articula fundamentalmente a través de los artículos 278, 279 y 280 del Código Penal³. Estos preceptos tutelan un bien jurídico muy concreto: la capacidad competitiva de la empresa en el mercado o, dicho de otro modo, el valor de determinada información cuando su conocimiento por terceros puede lesionar la capacidad competitiva de la empresa.
El artículo 278 del Código Penal tipifica lo que comúnmente se denomina “espionaje empresarial”. En su modalidad básica, sanciona a quien, para descubrir un secreto de empresa, se apodera por cualquier medio de datos, documentos o soportes que lo contengan. No basta, sin embargo, con el mero acceso material a la información. El tipo exige dolo: el autor debe conocer que la información no le pertenece y actuar con la voluntad de acceder a ella. Este delito se consuma con el mero apoderamiento orientado a descubrir el secreto, aunque finalmente no llegue a conocerse su contenido –por ejemplo, porque el sistema de protección impida descifrarlo–. El propio precepto contempla una modalidad agravada cuando el secreto previamente descubierto se difunde a terceros. Como ha reiterado el Tribunal Supremo4, este tipo agravado se consuma en el momento en que la información se pone en conocimiento de un tercero, aunque éste no llegue a utilizarla.
Por su parte, el artículo 279 del Código Penal castiga la difusión de un secreto de empresa cuando el que lo lleva a cabo tiene deber de guardarlo. Aquí se trata de una infracción del deber de reserva por quien conoce legítimamente el secreto y está obligado a mantener su confidencialidad (administradores, empleados, asesores o proveedores sujetos a acuerdos de confidencialidad). El propio artículo 279 prevé un subtipo atenuado cuando el secreto se utiliza exclusivamente en provecho propio, sin difusión a terceros, lo que no elimina la ilicitud penal pero sí rebaja la pena.
El sistema se completa con el artículo 280 del Código Penal, que sanciona a quien, sin haber participado en el descubrimiento del secreto y con conocimiento de su origen ilícito, realiza alguna de las conductas descritas en los artículos anteriores.
En todos los supuestos mencionados, los delitos se entienden consumados independientemente de que se cause o no un daño efectivo a la compañía.
Entendida la regulación, debemos dar un paso atrás para poder entenderla e interpretarla correctamente: ¿qué se entiende por secreto de empresa?
Para dar respuesta a esta pregunta tenemos que acudir a la Ley de Secretos Empresariales5. Conforme a dicha norma, para que una información pueda ser considerada secreto de empresa se tienen que cumplir tres requisitos: (i) que la información no sea generalmente conocida ni fácilmente accesible; (ii) que tenga valor empresarial precisamente por su carácter secreto; y (iii) que haya sido objeto de medidas razonables para mantenerla reservada. Este triple criterio actúa como verdadero filtro en sede penal, ya que deben concurrir los tres para poder hablar de revelación de secretos.
La jurisprudencia del Tribunal Supremo ha insistido en que el objeto del delito no es cualquier dato interno, sino aquella información cuya revelación pueda afectar de manera relevante a la competitividad empresarial4. De ahí que no todo documento corporativo, ni toda base de datos, ni toda política interna alcancen automáticamente la categoría de secreto empresarial.
La clave, por tanto, reside en la delimitación jurídica de la información sensible y en la existencia de una política real y efectiva de reserva. Es aquí donde surge la verdadera cuestión estratégica para las organizaciones: ¿está la empresa construyendo jurídicamente su secreto empresarial o se limita a considerar confidencial aquello que internamente percibe como valioso?
Si no existen mecanismos internos de control y medidas razonables de protección, la consideración de determinada información como secreto empresarial en un eventual procedimiento penal puede verse seriamente comprometida. La protección comienza, necesariamente, en el interior de la organización.
Es aquí donde los equipos in-house y compliance de asesorías jurídicas adquieren un papel decisivo. La acreditación de que la información revelada era secreta y estaba protegida no se improvisa, se construye antes del conflicto. El secreto empresarial no se presume; se construye y se prueba.
Pero ¿cómo pueden las empresas asegurarse de que su información quedará debidamente protegida en un eventual procedimiento penal? Integrando la protección de la información sensible en la cultura corporativa mediante mecanismos efectivos de control de accesos y trazabilidad, sistemas seguros y cifrado de datos, cláusulas específicas de confidencialidad y acuerdos de no divulgación, clasificación interna de la información estratégica y formación periódica de los empleados en sus deberes de reserva.
Ello exige adoptar una política coherente de protección que combine medidas técnicas —como dispositivos seguros, sistemas de acceso restringido, autenticación reforzada o trazabilidad de descargas— con medidas jurídicas y organizativas, tales como protocolos internos de clasificación, acuerdos con terceros y políticas claras de uso de dispositivos y correo corporativo. Además, los programas de cumplimiento deben incorporar mecanismos de prevención y detección tanto respecto de los propios secretos como frente a la eventual utilización indebida de secretos ajenos.
No puede olvidarse que la persona jurídica puede responder penalmente por la comisión de estos delitos cometidos en su nombre y en su beneficio6. En consecuencia, la prevención protege a la empresa no solo como potencial víctima, sino también como posible sujeto responsable.
Por ello, la pregunta que deben formularse las organizaciones no es únicamente si alguien podría apropiarse de su información estratégica. La verdadera cuestión es otra:
¿podría mi empresa demostrar mañana ante un juez que aquello que ha perdido era, jurídicamente, un secreto de empresa?
Referencias
(1) Sentencia de la Audiencia Provincial de Barcelona 675/2023, de 13 de octubre.
(2) Brand Finance Global Intangible Finance Tracker (GIFT™) 2025.
(3) Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
(4) Sentencia del Tribunal Supremo 735/2024, de 12 de julio.
(5) Ley 1/2019, de 20 de febrero, de Secretos Empresariales.
(6) Artículos 31 bis y 288.2º del Código Penal. Ley Orgánica 10/1995, de 23 de noviembre.