NDA en Barcelona: cómo proteger información confidencial

Contexto y encaje del problema

La confidencialidad en negocios suele aparecer en momentos de alta exposición: negociación con un cliente estratégico, búsqueda de financiación, colaboración con un proveedor tecnológico, subcontratación, procesos de selección de personal clave o incluso la venta de una unidad de negocio. En Barcelona, donde es habitual trabajar con terceros en entornos dinámicos (coworkings, aceleradoras, ferias sectoriales, reuniones con consultoras y agencias), el intercambio de información es rápido y, si no se ordena, se vuelve difícil de controlar.

Un NDA es un contrato. Su eficacia depende de cómo se defina la información protegida, del uso permitido, de la duración, de las medidas de seguridad y de la capacidad de probar qué se entregó, cuándo y bajo qué condiciones. El conflicto típico no es solo “alguien filtró”, sino “no puedo demostrar que era confidencial”, “no estaba bien delimitado” o “se mezcló con datos personales y no se trató correctamente”.

• Negociaciones comerciales: propuestas, pricing, márgenes, listas de clientes, estrategias de captación.
• Proyectos tecnológicos: código, arquitectura, documentación técnica, credenciales, roadmaps.
• Operaciones corporativas: due diligence, información financiera, contratos con terceros.
• Colaboraciones: metodologías, plantillas, know how, procesos internos.
• Relaciones laborales o mercantiles: acceso de empleados, freelancers o socios a información sensible.

Marco legal aplicable

En España, la confidencialidad puede apoyarse en varias capas jurídicas. La primera es contractual: el NDA se rige por las reglas generales de los contratos del Código Civil, especialmente en lo relativo a consentimiento, objeto, causa, interpretación, cumplimiento y responsabilidad por daños. La segunda capa, cuando la información cumple ciertos requisitos, es la protección específica de los secretos empresariales.

Además, si la información incluye datos personales (por ejemplo, bases de datos de clientes con emails, CVs, registros de usuarios o información de empleados), entra en juego la normativa de protección de datos (RGPD y normativa nacional de desarrollo), con obligaciones adicionales: base jurídica, minimización, seguridad, confidencialidad, contratos de encargo si hay acceso por terceros y, en su caso, gestión de brechas de seguridad.

• Contrato (Código Civil): el NDA define obligaciones y consecuencias; si se incumple, puede reclamarse responsabilidad y daños acreditados.
• Secretos empresariales (Ley 1/2019): protege información empresarial secreta con valor por ser secreta y con medidas razonables de protección.
• Protección de datos: si hay datos personales, el NDA no sustituye los acuerdos y obligaciones exigibles por el RGPD.
• Propiedad intelectual e industrial: en ciertos proyectos, conviene coordinar confidencialidad con titularidad de obras, software, marcas o diseños.
• Competencia y relaciones laborales/mercantiles: puede coexistir con pactos de no competencia o de no captación, pero no son lo mismo.

Requisitos, plazos y pasos previos

Antes de firmar un NDA conviene decidir qué problema quiere resolver: ¿evitar que el receptor divulgue? ¿evitar que use la información para competir? ¿ordenar el acceso interno? ¿habilitar una due diligence? Cada finalidad requiere un diseño distinto. En Barcelona, donde muchas relaciones se inician con intercambios rápidos de documentación, el paso previo más importante suele ser definir un perímetro claro de lo que se va a compartir y por qué canal.

En cuanto a plazos, no existe una duración “estándar” válida para todo. Puede pactarse una obligación por un tiempo determinado o indefinido, pero debe ser razonable y coherente con el tipo de información. También es habitual diferenciar: duración del acuerdo, duración de la obligación de confidencialidad y plazo de devolución o destrucción de materiales. Si hay datos personales, los plazos deben alinearse con la finalidad y con políticas de conservación.

• Identifique la información a compartir: categorías, nivel de detalle y formato (documentos, acceso a sistemas, reuniones).
• Defina la finalidad: evaluación de colaboración, prestación de servicios, inversión, compra, licitación.
• Decida el canal: data room, carpeta con permisos, envío cifrado, acceso temporal, reunión sin entrega.
• Fije duración y hitos: vigencia, confidencialidad postcontractual, devolución o destrucción, auditoría.
• Revise compatibilidades: protección de datos, propiedad intelectual, cláusulas de no captación o no competencia si proceden.

Derechos, obligaciones y límites

Un NDA bien planteado no solo impone “no divulgar”. También regula el uso permitido, quién puede acceder, cómo se protege la información y qué excepciones son razonables. Para empresas, pymes y autónomos, el punto crítico suele ser el “uso”: evitar que el receptor utilice lo recibido para desarrollar un producto similar, captar clientes o replicar procesos, incluso sin divulgar públicamente.

También hay límites. No todo puede blindarse por contrato si entra en conflicto con obligaciones legales (por ejemplo, requerimientos de autoridades, obligaciones contables o de compliance) o si la información ya era pública o se conocía legítimamente. Además, si el NDA pretende restringir la actividad económica de forma excesiva, puede ser discutible. Por eso conviene ajustar el alcance a lo necesario y documentar medidas razonables.

• Definición de información confidencial: por categorías y, cuando sea posible, por anexos o listados.
• Obligación de no uso: limitar el uso a la finalidad pactada, no a cualquier interés del receptor.
• Acceso restringido: solo a personal que necesite conocerlo, con deber de confidencialidad equivalente.
• Medidas de seguridad: control de accesos, registro de descargas, cifrado, prohibición de copias no autorizadas.
• Excepciones y divulgación obligada: qué hacer ante requerimientos legales y cómo notificar al titular.

Costes y consecuencias habituales

Las consecuencias de un incumplimiento de confidencialidad pueden ser contractuales (indemnización por daños y perjuicios, penalizaciones pactadas, resolución del contrato), y, si la información encaja como secreto empresarial, pueden activarse acciones específicas para cesar el uso o la divulgación y para reparar el daño. En paralelo, si hay datos personales y se produce un acceso no autorizado o una divulgación, pueden existir obligaciones de gestión de brechas y riesgos sancionadores.

En términos de costes, conviene pensar más allá del pleito. A menudo el coste principal es operativo: pérdida de ventaja competitiva, necesidad de rehacer documentación, reforzar seguridad, renegociar con clientes o proveedores y gestionar reputación. En Barcelona, donde muchas empresas trabajan por proyectos y con plazos ajustados, una filtración puede afectar licitaciones, rondas de inversión o acuerdos con partners.

• Coste de contención: auditoría interna, cierre de accesos, rotación de credenciales, revisión de permisos.
• Coste probatorio: recopilación de evidencias, peritaje informático si procede, custodia de correos y logs.
• Coste contractual: reclamación de daños, discusión de cláusulas penales, resolución o suspensión de servicios.
• Coste regulatorio: si hay datos personales, análisis de brecha y posibles comunicaciones a autoridad o afectados.
• Coste comercial: pérdida de oportunidades, renegociación con terceros, impacto en confianza.

Pruebas y documentación útil

La prueba es el punto decisivo. Para que un NDA sea útil, debe poder acreditarse qué información se entregó, a quién, en qué fecha, bajo qué condiciones y con qué medidas. En entornos digitales, la trazabilidad es clave. En entornos presenciales, conviene documentar reuniones, asistentes y materiales compartidos. En Barcelona, donde son habituales reuniones rápidas y presentaciones, es recomendable sistematizar actas internas y control de versiones.

Si sospecha un incumplimiento, la prioridad es preservar evidencias sin alterarlas: evitar “limpiar” sistemas, no reenviar cadenas sin control, y centralizar la documentación. En ocasiones puede ser útil un peritaje informático, pero no siempre es necesario. Lo importante es construir un relato verificable: entrega, deber de confidencialidad, acceso, uso indebido y daño o riesgo.

• NDA firmado y anexos: versión final, fecha, firmantes, poderes o representación, y cualquier anexo de información.
• Trazabilidad documental: correos, facturas, actas, presupuestos, órdenes de compra, versiones de documentos, enlaces a data room y registros de acceso.
• Requerimiento fehaciente: burofax o comunicación fehaciente solicitando cese de uso, devolución o destrucción y confirmación por escrito.
• Evidencia técnica: logs de acceso, capturas con contexto, historial de repositorios, auditoría de permisos, huellas de agua en PDFs.
• Prueba de valor y daño: inversión en desarrollo, costes de I+D, planes comerciales, pérdida de oportunidad, comparativas de producto o propuesta.

Pasos para actuar con orden

Ante un riesgo de divulgación o un incumplimiento, actuar con rapidez no significa actuar sin método. El objetivo inicial suele ser contener el daño, asegurar la prueba y recuperar control sobre la información. Después, valorar si conviene negociar, requerir formalmente o iniciar acciones. En Barcelona, donde muchas relaciones comerciales se sostienen por continuidad de proyectos, una actuación escalonada puede ser más eficaz que una ruptura inmediata, siempre que no comprometa la protección.

Si hay datos personales, añada una capa de análisis: si lo ocurrido puede ser una brecha de seguridad, si hay obligación de notificar y qué medidas técnicas y organizativas deben adoptarse. En cualquier caso, documente internamente decisiones y tiempos. La coherencia entre lo que se hace y lo que se exige al tercero es importante.

• Contención inmediata: cierre de accesos, revocación de permisos, cambio de credenciales y revisión de comparticiones.
• Preservación de evidencias: copias seguras, exportación de correos, registro de eventos, custodia de documentos.
• Revisión del NDA y del contexto: alcance, finalidad, excepciones, jurisdicción, cláusulas penales y obligaciones de devolución.
• Evaluación de impacto: qué se ha expuesto, a quién, posibilidad de difusión, daño potencial y urgencia.
• Estrategia: negociación, requerimiento fehaciente, medidas cautelares si procede, y coordinación con protección de datos.

Notificaciones y negociación

La comunicación con la otra parte debe ser clara, proporcionada y orientada a objetivos: cese de uso, no divulgación, devolución o destrucción, y preservación de evidencias. En entornos empresariales, una negociación bien planteada puede resolver el problema sin escalar, pero debe hacerse sin perder capacidad probatoria ni dejar pasar plazos relevantes.

En Barcelona y Cataluña es habitual intentar una solución previa por continuidad comercial, especialmente cuando hay proyectos en curso. Aun así, conviene formalizar posiciones por escrito y evitar conversaciones exclusivamente telefónicas o por mensajería sin trazabilidad. Si se negocia, documente acuerdos parciales: qué se devuelve, qué se destruye, qué se puede seguir usando y bajo qué condiciones.

• Notificación inicial: describa hechos, identifique el NDA aplicable y solicite medidas concretas.
• Requerimiento fehaciente: si hay riesgo, utilice burofax u otro medio fehaciente para fijar fecha y contenido.
• Propuesta de regularización: devolución, destrucción, auditoría limitada, o nuevo NDA más preciso.
• Cláusula de no admisión: cuide el lenguaje para no reconocer hechos no verificados.
• Canal único: centralice comunicaciones y evite versiones contradictorias dentro de su organización.

Vías de reclamación o regularización

Si la negociación no funciona o el riesgo es alto, existen vías para reclamar o regularizar. La elección depende del tipo de información, del NDA, de la prueba y del objetivo. A veces el objetivo principal es detener el uso o la divulgación; otras, recuperar materiales y limitar daños; y en algunos casos, reclamar una indemnización. No siempre conviene iniciar todas las vías a la vez.

Cuando la información encaja como secreto empresarial, pueden plantearse acciones específicas para protegerlo. Si hay datos personales, puede ser necesario activar el protocolo de brechas y, en su caso, acudir a la autoridad de control o seguir sus guías. En Cataluña, la Autoritat Catalana de Protecció de Dades puede ser relevante en el ámbito del sector público catalán y entidades vinculadas, mientras que la AEPD actúa en el ámbito general privado, según el caso.

• Reclamación contractual: exigir cumplimiento, cese, devolución y daños conforme al NDA y al Código Civil.
• Acciones por secreto empresarial: si se cumplen requisitos, solicitar cese, prohibiciones y reparación del daño.
• Medidas cautelares: cuando hay urgencia para evitar difusión o uso continuado, si la prueba lo sustenta.
• Protección de datos: análisis de brecha, medidas correctoras y, si procede, actuaciones ante la autoridad competente.
• Regularización documental: nuevo NDA, addendum, acuerdos de encargo de tratamiento o políticas internas reforzadas.

Si ya se ha firmado o ya se ha actuado

Si ya firmó un NDA, o si ya compartió información sin NDA, todavía puede ordenar la situación. Lo primero es reconstruir el historial: qué se compartió, con quién, por qué canal y qué mensajes acompañaron la entrega. En muchos casos, aunque no haya NDA, puede existir un deber de confidencialidad derivado de la relación y de la buena fe contractual, pero su alcance y prueba suelen ser más discutibles.

Si el NDA es débil (definición vaga, sin no uso, sin duración clara, sin medidas), puede reforzarse con un addendum o con un nuevo acuerdo antes de seguir compartiendo información. Si ya hay indicios de uso indebido, conviene no “negociar a ciegas”: preserve evidencias, delimite lo que exige y evite ampliar la exposición. En Barcelona, donde los proyectos evolucionan rápido, es habitual que el problema aparezca cuando ya hay entregables y accesos concedidos.

• Auditoría interna rápida: inventario de documentos compartidos, accesos concedidos y personas con conocimiento.
• Regularización contractual: addendum con definición por anexos, no uso, duración, devolución y medidas de seguridad.
• Limitación de exposición: acceso por fases, entrega parcial, marcas de agua, data room con permisos.
• Requerimiento de confirmación: solicitar por escrito qué información conservan y bajo qué controles.
• Plan de continuidad: si la relación sigue, establecer gobernanza: responsables, canales, registro y revisiones periódicas.

Preguntas frecuentes

Estas respuestas son orientativas y deben ajustarse al documento firmado y a la prueba disponible. En caso de duda, es preferible revisar el NDA y el rastro documental antes de enviar comunicaciones.

P: ¿Un NDA verbal sirve en España?

R: Un acuerdo verbal puede existir, pero es difícil de probar y de delimitar. Para información sensible, lo prudente es un NDA escrito y firmado, o al menos una confirmación por email con términos claros antes de compartir.

P: ¿Cuánto tiempo debe durar un NDA?

R: Depende del tipo de información y de su valor. Puede pactarse un plazo fijo o una obligación que se mantenga mientras la información no sea pública. Lo importante es que sea razonable y coherente con la finalidad.

P: ¿Puedo incluir una cláusula penal por incumplimiento?

R: Es habitual pactar penalizaciones, pero deben redactarse con cuidado y sin sustituir el análisis del daño real. Una cláusula penal no elimina la necesidad de prueba y puede ser discutida si es desproporcionada.

P: ¿Qué pasa si la información incluye datos personales de clientes?

R: Además del NDA, debe cumplir la normativa de protección de datos: definir roles, firmar acuerdos de encargo si procede, aplicar medidas de seguridad y gestionar adecuadamente cualquier incidente o acceso no autorizado.

P: ¿Qué es mejor en Barcelona: enviar un burofax o un email?

R: Depende del riesgo y de la urgencia. El email puede ser suficiente para iniciar una regularización, pero un medio fehaciente como burofax es útil para fijar contenido y fecha cuando hay conflicto, riesgo de difusión o necesidad de dejar constancia.