Acuerdo de confidencialidad (NDA) — redacción en derecho español

El acuerdo de confidencialidad — designado en la práctica indistintamente como NDA (Non-Disclosure Agreement), acuerdo de confidencialidad, compromiso de confidencialidad o cláusula de confidencialidad cuando va integrado en un contrato más amplio — es probablemente el instrumento contractual más redactado en la práctica empresarial española. Precede a casi toda operación de M&A, a todo proceso restringido de selección de proveedores, a toda discusión de inversión o de partenariado tecnológico, y a casi toda contratación en puestos con acceso a información sensible. Su redacción no es mecánica sino que pone en juego decisiones operativas — confidencialidad unilateral o recíproca, perímetro de la información protegida, duración, articulación entre fundamento contractual y secretos empresariales, tratamiento del informante (whistleblower) — que se repiten en cada expediente y que determinan el desenlace de un eventual contencioso. Para el marco general véase derecho de los contratos; para las cláusulas boilerplate, cláusulas estándar; para los efectos en CGC, condiciones generales.

Triple fundamento concurrente

La protección de la información confidencial en derecho español descansa sobre tres fundamentos distintos pero cumulables, que una redacción cuidadosa debe combinar.

Fundamento contractual

El primer fundamento es el compromiso contractual de confidencialidad, que produce sus efectos entre las partes en aplicación del artículo 1091 CC (pacta sunt servanda) y del artículo 1258 CC (las obligaciones derivadas del contrato comprenden todo aquello conforme a la buena fe, los usos y la ley). En la fase precontractual, los tribunales han reconocido — sobre la base del art. 7 CC (buena fe) y del art. 1902 CC (responsabilidad extracontractual) — un deber autónomo de confidencialidad sobre las informaciones intercambiadas en negociaciones, cuya violación genera responsabilidad por culpa in contrahendo. La ventaja del fundamento contractual es su previsibilidad (objeto, duración y sanciones estipulados) y la posibilidad de pactar una cláusula penal (art. 1152 CC) que dispense al acreedor de la prueba del quantum del daño. Su límite es la relatividad: solo las partes signatarias quedan vinculadas, lo que plantea la cuestión de la protección frente a terceros.

Fundamento extracontractual

Frente a terceros, la protección es extracontractual, derivada del art. 1902 CC. La captación de información confidencial por terceros, el aprovechamiento desleal del secreto, la inducción a la infracción contractual y la concurrencia desleal por explotación de la reputación ajena son sancionados por la Ley 3/1991 de Competencia Desleal (LCD), que en sus arts. 13 y 14 sanciona específicamente la violación de secretos y la inducción a la infracción contractual. La acción puede acumularse con la acción por daños del art. 1902 CC. El Tribunal Supremo ha confirmado en jurisprudencia constante que el ex empleado que se sirve de información confidencial obtenida en su anterior puesto puede ser demandado por concurrencia desleal aun cuando no exista pacto de no competencia poscontractual.

Secretos empresariales (Directiva 2016/943 / Ley 1/2019)

El tercer fundamento, y el más sólido a partir de 2019, es el régimen de los secretos empresariales establecido por la Ley 1/2019, de 20 de febrero, de Secretos Empresariales (LSE), que transpone la Directiva (UE) 2016/943 sobre la protección de los conocimientos técnicos y de la información empresarial no divulgados (secretos comerciales). El art. 1 LSE define el secreto empresarial mediante tres condiciones cumulativas:

Carácter secreto: la información no es generalmente conocida ni fácilmente accesible para personas pertenecientes a los círculos en que normalmente se utilice ese tipo de información.
Valor comercial efectivo o potencial: el valor comercial deriva precisamente de su carácter secreto.
Medidas razonables de protección: el titular ha adoptado medidas razonables, según las circunstancias, para mantener la información secreta.

Las tres condiciones se aprecian de forma cumulativa: la falta de cualquiera de ellas excluye la calificación de secreto y, con ella, todas las acciones específicas de la LSE. La condición tercera — medidas razonables — es la que cristaliza directamente en la redacción del NDA: un acuerdo de confidencialidad bien redactado, marcado con cláusulas de identificación, restitución y compromiso de no uso, constituye una de las pruebas más sólidas de la diligencia razonable del titular. A la inversa, la ausencia de NDA o un NDA defectuoso puede privar al titular del beneficio de la calificación.

Definición de la información confidencial

La definición del perímetro de la información confidencial es el núcleo del NDA. Tres opciones de técnica de redacción son habituales.

La opción amplia (« cualquier información, documento o dato comunicado entre las partes en el marco del Propósito, en cualquier forma o soporte ») tiene la ventaja de cubrir lo más posible pero el inconveniente de exponer la cláusula al control de transparencia y, en el contexto de la LSE, de no facilitar la identificación de los elementos susceptibles de constituir secretos empresariales. La opción restrictiva (« los documentos identificados expresamente como confidenciales por la Parte Divulgadora con la mención “CONFIDENCIAL” o equivalente ») ofrece previsibilidad probatoria pero deja sin protección las comunicaciones orales o las informaciones no marcadas. La opción mixta — recomendada en la práctica — combina una definición afirmativa amplia con la exigencia de marcado para las comunicaciones orales (« deberán ser confirmadas por escrito como confidenciales en los 30 días siguientes »), unas exclusiones precisas y, en su caso, una lista positiva en anexo.

Las exclusiones estándar deben articular cinco supuestos: (i) información pública (no por culpa del Receptor), (ii) información ya conocida por el Receptor antes de la comunicación (a probar por documentación previa al NDA), (iii) información desarrollada independientemente por el Receptor (sin uso de las informaciones de la Parte Divulgadora — clean room), (iv) información obtenida lícitamente de un tercero sin obligación de confidencialidad, y (v) divulgación impuesta por la ley o por orden judicial (con obligación de notificación previa cuando sea legalmente posible). La calificación « documentado » o « por escrito » en los supuestos (ii) y (iii) es determinante en contencioso: el Receptor que invoca conocimiento previo sin prueba documental rara vez prospera.

Duración y supervivencia: régimen dual

La duración del compromiso de confidencialidad debe articularse en dos regímenes paralelos. Para la información ordinaria (información comercial, financiera, técnica que no alcance el umbral de la LSE), un plazo de 3 a 5 años desde la terminación del NDA o desde la última comunicación es habitual en la práctica española; un plazo más largo es difícilmente sostenible salvo justificación específica. Para la información que constituye secreto empresarial en el sentido del art. 1 LSE, la protección debe ser indefinida — mientras subsistan las tres condiciones de la LSE. Una limitación temporal uniforme a 3 o 5 años para toda la información sería contraproducente: caracterizaría a contrario que el titular ha aceptado que la información pierda su carácter secreto en ese plazo, lo que destruye la condición tercera (medidas razonables) y, por extensión, debilita las acciones LSE.

La fórmula recomendada distingue: « Para la información que constituya un secreto empresarial en el sentido del art. 1 de la Ley 1/2019, las obligaciones de confidencialidad subsistirán durante todo el período en el que la información mantenga las características del art. 1 LSE. Para el resto de informaciones confidenciales, las obligaciones se mantendrán durante un período de cinco (5) años a partir de la finalización del presente acuerdo o de la última comunicación, lo que ocurra más tarde. »

Reserva del informante (Ley 2/2023)

Toda cláusula de confidencialidad debe contener una reserva expresa de los derechos del informante (en español jurídico: informante o denunciante; en inglés whistleblower) so pena de nulidad parcial. La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, transpone la Directiva (UE) 2019/1937 y establece un sistema de canales internos, externos (a través de la Autoridad Independiente de Protección del Informante — A.A.I.) y, en último término, de divulgación pública. La protección del informante es de orden público: el art. 35 de la Ley 2/2023 declara expresamente nulas las cláusulas o estipulaciones contractuales que tengan por objeto o efecto impedir la formulación de comunicaciones protegidas o las medidas de protección. Paralelamente, el art. 2 LSE establece la excepción del informante dentro del régimen específico de secretos empresariales: la obtención, utilización o divulgación de secretos empresariales no constituye infracción cuando se haya producido para revelar una falta, irregularidad o actividad ilegal con la finalidad de proteger el interés público.

La fórmula estándar a incorporar reza: « Las obligaciones del presente acuerdo no obstan al ejercicio por cualquier persona del derecho de comunicación o de divulgación pública de información en los términos y con las garantías previstos en la Ley 2/2023 de protección del informante y en el art. 2 de la Ley 1/2019 de Secretos Empresariales. »

Restitución, destrucción y carve-outs

Al término del NDA o a primera solicitud, las dos partes deben restituir o destruir las informaciones confidenciales recibidas. La elección entre restitución y destrucción debe pertenecer al Divulgador (no al Receptor), con confirmación por escrito por persona autorizada del Receptor. Para informaciones sensibles almacenadas electrónicamente, conviene especificar la norma de borrado seguro — NIST SP 800-88 nivel Clear o Purge — y exigir certificación del responsable de seguridad de la información (CISO o equivalente).

Las excepciones (carve-outs) habituales y necesarias son: (i) las copias retenidas por obligación legal o regulatoria (archivo fiscal, contable, expedientes profesionales), (ii) las copias de back-up incorporadas automáticamente en los sistemas y que no son razonablemente accesibles, (iii) las informaciones que deban conservarse en virtud de una litigation hold (preservación de pruebas en caso de procedimiento judicial), y (iv) las informaciones efectivamente integradas en obras derivadas o productos del Receptor (sometidas a una obligación residual de confidencialidad). La omisión de estos carve-outs hace impracticable la cláusula de destrucción para empresas mínimamente estructuradas.

Medidas cautelares (art. 14 LSE)

El art. 14 LSE — uno de los aportes más relevantes de la Ley 1/2019 — establece un régimen específico de medidas cautelares para los secretos empresariales. El juez puede ordenar, inaudita parte si concurre urgencia, (i) el cese o la prohibición de uso o divulgación del secreto, (ii) la incautación de productos infractores, (iii) el embargo preventivo de bienes para garantizar la efectividad de una eventual indemnización, y (iv) medidas de aseguramiento de prueba (art. 297 LEC) adaptadas al secreto empresarial. El art. 15 LSE establece una garantía de equilibrio: las medidas pueden subordinarse a la constitución por el solicitante de una caución suficiente para responder de los eventuales daños al demandado en caso de revocación.

El procedimiento se desarrolla con plenas garantías de protección del secreto: el art. 15 LSE establece que el procedimiento puede celebrarse en audiencia restringida, con designación de un círculo de confidencialidad (sólo determinados abogados, peritos y representantes de las partes acceden a la información sensible), y los autos pueden contener una versión pública expurgada y una versión integral reservada — adaptación a España del régimen previsto por el art. 9 de la Directiva 2016/943.

Cuantificación de daños (art. 9 LSE)

Para los secretos empresariales el art. 9 LSE establece un régimen de cuantificación específico, alternativo y más favorable al titular que el régimen general del art. 1106 CC. El titular puede elegir entre tres bases de cálculo:

Daño emergente y lucro cesante: cálculo clásico del art. 1106 CC (pérdida sufrida + ganancia dejada de obtener).
Beneficios obtenidos por el infractor mediante la conducta infractora — disgorgement.
Regalía hipotética: cantidad equivalente a la regalía que el infractor habría tenido que pagar si hubiese obtenido una licencia para el uso del secreto.

La opción por la regalía hipotética simplifica considerablemente la prueba en contencioso (evita la cuantificación del daño y de los beneficios). En la práctica, los demandantes suelen acumular pretensiones subsidiarias o alternativas para que el tribunal elija la más favorable. El art. 9.3 LSE permite además, en caso de infracción dolosa o gravemente negligente, la concesión de una indemnización adicional por daños morales.

Cláusula penal y limitación de responsabilidad

La cláusula penal (art. 1152-1155 CC) cumple en NDA una función esencial: liberar al Divulgador de la prueba del quantum del daño, frecuentemente difícil en materia de información confidencial. La cantidad debe ser razonable — un importe excesivo se expone al control del art. 1154 CC (moderación judicial en caso de cumplimiento parcial) y a la calificación de cláusula abusiva si el NDA es de adhesión. En la práctica B2B, una pena de 50.000 € a 300.000 € por violación caracterizada, con un tope agregado, es habitual. Para los casos de violación dolosa, la cláusula penal no excluye la indemnización suplementaria conforme al art. 1102 CC (el dolo no se puede excluir).

La limitación de responsabilidad debe siempre exceptuar (i) el dolo (art. 1102 CC, inderogable), (ii) la culpa grave (jurisprudencia, asimilada al dolo en cuanto a la exclusión), y (iii) las violaciones de obligaciones esenciales (jurisprudencia inspirada en el régimen francés Chronopost). Una limitación bruta del tipo « la responsabilidad del Receptor por incumplimiento de las obligaciones de confidencialidad queda limitada a 50.000 € » sería sistemáticamente neutralizada por el tribunal en caso de violación intencional.

Jurisprudencia clave

STS, Sala 1.ª, 24 noviembre 2006, n.º 1167/2006: aplicación del art. 1902 CC a la violación de obligaciones de confidencialidad en fase precontractual; consagra la culpa in contrahendo como vía paralela al fundamento contractual.
STS, Sala 1.ª, 13 enero 2011, n.º 859/2010: confirma que la captación de información confidencial por un ex empleado constituye concurrencia desleal sancionable por la Ley 3/1991, aun en ausencia de pacto de no competencia.
STJUE, 11 mayo 2017, C-577/15 P (Pilkington): sobre el régimen comunitario del tratamiento de información confidencial — refuerza la doctrina del círculo de confidencialidad luego transpuesta a la LSE.
STS, Sala 1.ª, 21 octubre 2019, n.º 564/2019: doctrina sobre la cláusula penal en contratos con prestaciones de no hacer — confirma su validez y los límites de la moderación del art. 1154 CC.

Referencias cruzadas

Derecho de los contratos — fundamentos — formación, vicios del consentimiento, buena fe, responsabilidad precontractual, cláusula penal, prescripción.
Cláusulas estándar — ley aplicable, jurisdicción, fuerza mayor, limitación de responsabilidad, firma electrónica.
Condiciones generales de la contratación — control de incorporación y transparencia para los NDA de adhesión.
Contrato marco — articulación del NDA con el contrato marco B2B.
Compraventa de activos — el NDA en el proceso M&A.

Bibliografía

Aviso legal: El contenido de este manual es informativo y no constituye asesoramiento jurídico. Última verificación: 12 de mayo de 2026. Consulte a un abogado colegiado en España para decisiones vinculantes.