Acuerdo de Confidencialidad para Due Diligence España — Ley 1/2019 LSE
DUE DILIGENCE NON-DISCLOSURE AGREEMENT (ACUERDO DE CONFIDENCIALIDAD PARA DUE DILIGENCE)
This Due Diligence Non-Disclosure Agreement (Acuerdo de Confidencialidad para Due Diligence) is entered into on [Agreement Date] between the parties identified below, governed by Código Civil Article 1255, Ley 1/2019, de 20 de febrero, de Secretos Empresariales (LSE), and Ley Orgánica 3/2018 (LOPDGDD) supplementing Reglamento (UE) 2016/679 (RGPD).
1. PARTIES
DISCLOSING PARTY (PARTE DIVULGADORA): [Disclosing Party Name], NIF/CIF [Disclosing NIF], registered address at [Disclosing Address], represented by [Disclosing Representative] (hereinafter "the Disclosing Party").
RECEIVING PARTY (PARTE RECEPTORA): [Receiving Party Name], NIF/CIF [Receiving NIF], registered address at [Receiving Address], represented by [Receiving Representative] (hereinafter "the Receiving Party").
2. PURPOSE
The Disclosing Party intends to share certain confidential information with the Receiving Party solely for the following purpose: [Transaction Purpose] (hereinafter "the Transaction"). The Receiving Party may use the Confidential Information only for evaluating the Transaction and for no other purpose.
3. CONFIDENTIAL INFORMATION
"Confidential Information" means all non-public information disclosed by the Disclosing Party to the Receiving Party in connection with the Transaction, whether in writing, orally, visually, electronically, or through the virtual data room (sala de datos virtual), including: [Confidential Information Scope].
Confidential Information includes all information qualifying as a secreto empresarial under Ley 1/2019 de Secretos Empresariales Article 1 — information that is not publicly known, has commercial value, and has been the subject of reasonable steps to maintain its secrecy.
Confidential Information does not include information that: (a) is or becomes publicly available through no fault of the Receiving Party; (b) was already known to the Receiving Party prior to disclosure; (c) is independently developed by the Receiving Party without reference to the Confidential Information; or (d) is required to be disclosed by law, court order, or regulatory authority — in which case the Receiving Party shall notify the Disclosing Party promptly and cooperate to minimise the scope of disclosure.
4. OBLIGATIONS OF THE RECEIVING PARTY
The Receiving Party shall: (a) maintain strict confidentiality regarding all Confidential Information; (b) use Confidential Information solely for evaluating the Transaction; (c) disclose Confidential Information only to: [Permitted Recipients], each bound by confidentiality obligations no less restrictive than this Agreement; (d) not copy, reproduce, or extract Confidential Information beyond what is necessary for Transaction evaluation; and (e) implement appropriate technical and organisational measures (medidas técnicas y organizativas) under RGPD Article 32 to protect Confidential Information from unauthorised access.
The Receiving Party shall notify the Disclosing Party immediately upon becoming aware of any unauthorised access, disclosure, or loss of Confidential Information.
5. RETURN AND DESTRUCTION
Upon the Disclosing Party's written request, or upon termination of Transaction evaluation, the Receiving Party shall promptly return or certifiably destroy (destruir de manera certificada) all Confidential Information — including electronic copies stored on servers, computers, and cloud storage — and provide written confirmation of destruction. Regulatory retention obligations imposed by the AEAT, CNMV, or applicable law are excepted.
6. DATA PROTECTION (RGPD / LOPDGDD)
Where Confidential Information includes personal data (datos personales) within the meaning of RGPD Article 4(1), the Receiving Party shall process such data only: (a) for the purpose of evaluating the Transaction under RGPD Article 6.1(f) legitimate interest; (b) in compliance with the data minimisation principle under RGPD Article 5(1)(c); and (c) subject to a data processing agreement (acuerdo de encargado del tratamiento) under RGPD Article 28 where the Receiving Party acts as data processor. The Receiving Party shall notify the Disclosing Party of any personal data breach within 72 hours of discovery under RGPD Article 33.
7. DURATION AND REMEDIES
The confidentiality obligations under this Agreement shall remain in force for [NDA Duration] from the date of first disclosure of Confidential Information. For information qualifying as secretos empresariales under Ley 1/2019 LSE, statutory protection continues as long as the information remains secret, independent of this contractual term.
Breach of this Agreement entitles the Disclosing Party to: (a) civil damages under Código Civil Articles 1101 and 1106; (b) injunctions and other remedies under Ley 1/2019 LSE Articles 9 through 11, including cessation of use (cesación), seizure of infringing materials, and publication of judgment; and (c) interim injunctions (medidas cautelares) under LEC Article 721. AEPD administrative sanctions under RGPD Article 83 may also apply for personal data breaches.
8. GOVERNING LAW AND JURISDICTION
This Agreement is governed by Spanish law. The parties submit disputes to the jurisdiction of [Governing Court]. The parties shall first attempt resolution through mediation under Ley 5/2012 before commencing proceedings.
SIGNATURES
Signed on [Agreement Date].
DISCLOSING PARTY Signed: _______________________ Name: [Disclosing Representative] On behalf of: [Disclosing Party Name] Date: _______________________
RECEIVING PARTY Signed: _______________________ Name: [Receiving Representative] On behalf of: [Receiving Party Name] Date: _______________________
Qué es Acuerdo de Confidencialidad para Due Diligence España — Ley 1/2019 LSE
El Acuerdo de Confidencialidad para Due Diligence es, en España, el contrato escrito regulado por Código Civil art. 1255; Ley Orgánica 3/2018 (LOPDGDD); Ley 1/2019 de Secretos Empresariales, que fija por escrito los derechos y obligaciones recíprocos de las partes y resulta exigible ante los tribunales civiles.
La Ley 1/2019 de Secretos Empresariales constituye el marco normativo primario para la protección de la información confidencial empresarial en España. Su Artículo 1 define el secreto empresarial como cualquier información que reúna tres requisitos acumulativos: (1) ser secreta —no conocida generalmente ni fácilmente accesible para personas del sector—; (2) tener valor comercial precisamente por su carácter secreto; y (3) haber sido objeto de medidas razonables para mantener su secreto por quien la controla. Los artículos 3 a 5 LSE tipifican la obtención, utilización y divulgación ilícitas de secretos empresariales, y el Artículo 9 LSE prevé remedios civiles: prohibición de uso (cesación), indemnización de daños y perjuicios, publicación de la sentencia. El Juzgado de lo Mercantil ostenta jurisdicción sobre las reclamaciones por infracción de secretos empresariales conforme al Artículo 86 ter de la Ley Orgánica del Poder Judicial (LOPJ).
En el contexto de la due diligence —ya sea en operaciones de M&A, en inversiones de capital riesgo supervisadas por la Comisión Nacional del Mercado de Valores (CNMV), en adquisiciones de carteras inmobiliarias o en transacciones de financiación sujetas a la Ley 6/2023 del Mercado de Valores— la parte divulgadora facilita habitualmente el acceso a una sala de datos virtual (VDR) que contiene las cuentas anuales auditadas, los litigios pendientes, los registros de propiedad industrial ante la Oficina Española de Patentes y Marcas (OEPM), los contratos laborales y las deudas con la Seguridad Social, los expedientes de cumplimiento medioambiental y el historial fiscal ante la Agencia Tributaria (AEAT).
El RGPD y la LOPDGDD exigen que los datos personales compartidos en la due diligence —incluidos registros de empleados, bases de datos de clientes e información directiva— se divulguen bajo un acuerdo de encargado del tratamiento que identifique la base jurídica conforme al Artículo 6 RGPD (habitualmente interés legítimo del Artículo 6.1.f) y aplique las medidas técnicas y organizativas adecuadas. La Agencia Española de Protección de Datos (AEPD) ha emitido criterios sobre las cesiones de datos en procesos de M&A, confirmando que la divulgación limitada de datos personales durante la due diligence es admisible bajo el interés legítimo, sujeta a los principios de proporcionalidad y necesidad.
La práctica española de M&A contempla habitualmente un proceso de NDA en dos fases: un NDA mutuo amplio en el primer contacto (carta de intención o MOU) seguido de este Acuerdo de Confidencialidad para Due Diligence más detallado y unilateral, que regula el acceso a la sala de datos virtual y el proceso de divulgación de información.
Cuándo necesitas Acuerdo de Confidencialidad para Due Diligence España — Ley 1/2019 LSE
El Acuerdo de Confidencialidad para Due Diligence España es necesario al inicio de cualquier proceso estructurado en el que la sociedad objetivo, sus socios o sus asesores comparten información financiera, jurídica o comercial no pública con un potencial adquirente, inversor o prestamista para facilitar la evaluación de la transacción.
Es necesario cuando una firma de capital riesgo registrada en la CNMV inicia la due diligence sobre una sociedad española —antes de acceder a las cuentas auditadas, las cuentas de gestión, los calendarios de litigios pendientes, los activos de propiedad industrial registrados ante la OEPM o los contratos con clientes y proveedores—.
Resulta preceptivo cuando un adquirente estratégico —nacional o extranjero— inicia un proceso de fusión o adquisición sobre una sociedad española y necesita acceder a la sala de datos virtual organizada por los asesores de M&A de la empresa objetivo (banco de inversión o asesor financiero).
Es necesario cuando un fondo de capital riesgo o un inversor ángel evalúa una inversión minoritaria en una startup española y requiere acceso a proyecciones financieras, propiedad intelectual tecnológica y contratos comerciales clave antes de suscribir un term sheet conforme a la Ley 22/2014 de entidades de capital-riesgo.
Se exige cuando una entidad de crédito supervisada por el Banco de España conforme a la Ley 10/2014 realiza due diligence crediticia antes de conceder un préstamo sindicado o una financiación de proyectos a un prestatario español.
También es necesario cuando un fondo de inversión inmobiliaria (SOCIMI, regulada por la Ley 11/2009) evalúa la adquisición de una cartera de inmuebles y precisa acceder a los calendarios de arrendamientos, informes de tasación y expedientes de cumplimiento medioambiental antes de suscribir un contrato de arras o compraventa privada. El Registro Mercantil, la AEAT, la CNMC y la Agencia Española de Protección de Datos (AEPD) son los organismos clave de supervisión en este ámbito.
El acuerdo de confidencialidad para due diligence también es necesario cuando las partes en la operación incluyen socios financieros — fondos de private equity, family offices, business angels o entidades de capital riesgo registradas en la CNMV conforme a la Ley 22/2014 de entidades de capital riesgo — que requieren acceso a los estados financieros auditados, a las declaraciones fiscales y a los contratos laborales clave de la empresa objetivo para elaborar su informe de inversión. Sin un NDA previo, la divulgación de datos financieros consolidados a terceros puede violar las obligaciones de confidencialidad del consejo de administración frente a los accionistas actuales conforme a los artículos 228 y 229 de la Ley de Sociedades de Capital (LSC, RDL 1/2010).
Qué incluir en tu Acuerdo de Confidencialidad para Due Diligence España — Ley 1/2019 LSE
El Acuerdo de Confidencialidad para Due Diligence España, conforme al Artículo 1255 del Código Civil y la Ley 1/2019 de Secretos Empresariales, debe incorporar los siguientes elementos esenciales para su validez y eficacia jurídica.
Identificación de las Partes: Denominación social completa, NIF o CIF, domicilio social y datos del Registro Mercantil de la parte divulgadora y la parte receptora. El representante legal de cada entidad, con referencia a la escritura de poder notarial, debe suscribir el acuerdo.
Definición de Información Confidencial: Descripción precisa de qué constituye información confidencial —abarcando toda información empresarial, financiera, técnica, jurídica y comercial no pública divulgada en relación con la transacción, ya sea por escrito, verbalmente, visualmente o a través de la sala de datos virtual—. Deben especificarse las exclusiones: información de dominio público, desarrollada independientemente u objeto de divulgación obligatoria por ley o resolución judicial.
Finalidad de la Operación: Declaración expresa de la finalidad permitida —típicamente la evaluación de una posible adquisición, inversión o financiación— fuera de la cual la información confidencial no podrá utilizarse. El uso indebido más allá de la finalidad pactada constituye tanto un incumplimiento contractual como una potencial infracción de secreto empresarial conforme al Artículo 3 de la Ley 1/2019 LSE.
Destinatarios Autorizados: Relación de los representantes de la parte receptora —asesores, empleados, consejeros— que pueden acceder a la información confidencial con criterio de necesidad, manteniendo la parte receptora la responsabilidad por las infracciones de sus representantes. Se incluyen habitualmente bancos de inversión, abogados y auditores y asesores financieros.
Protocolos de Sala de Datos: Disposiciones que regulan el acceso a la VDR —credenciales de acceso, descargas permitidas, prohibición de extracción masiva y marcas de agua en los documentos—, conforme al principio de minimización de datos del Artículo 5.1.c del RGPD y la Ley Orgánica 3/2018 (LOPDGDD).
Devolución y Destrucción: Obligación de devolver o destruir de manera certificada toda la información confidencial —incluidas las copias en formato electrónico almacenadas en servidores y dispositivos— al término del NDA o del proceso de la operación, salvo los plazos de conservación obligatorios impuestos por la AEAT o la CNMV.
Vigencia y Terminación: Duración de la obligación de confidencialidad —habitualmente de dos a cinco años desde la fecha de divulgación— y disposiciones de resolución. Obligaciones de confidencialidad post-operación para la información no incorporada a documentos de divulgación pública.
Remedios y Cumplimiento del RGPD: Remisión a los remedios civiles de los artículos 9 a 11 de la Ley 1/2019 LSE —prohibición de uso, indemnización de daños y perjuicios, publicación de la sentencia—. Cláusula de cumplimiento de protección de datos conforme al RGPD y la LOPDGDD, identificando la base jurídica de la transferencia de datos personales, la condición de encargado del tratamiento de los asesores de la parte receptora y las obligaciones de notificación a la AEPD.
Ley Aplicable y Jurisdicción: Derecho español como ley rectora y el Juzgado de lo Mercantil del domicilio social de la parte divulgadora como tribunal competente, o arbitraje ante la Corte de Arbitraje de Madrid (CAM) conforme a la Ley 60/2003 de Arbitraje.
Forms-legal.com ofrece esta plantilla de Acuerdo de Confidencialidad para Due Diligence España como punto de partida práctico para la documentación de transacciones. Todo proceso de M&A e inversión debe contar con asesoramiento jurídico especializado de un abogado español o de un despacho internacional con experiencia en operaciones corporativas españolas. La plataforma forms-legal.com ofrece esta plantilla adaptada a la legislación española vigente para facilitar la elaboración de este documento con todas las garantías legales.
Citar esta página
Referencia esta plantilla gratuita en un artículo, programa de estudios o nota de investigación:
Forms Legal. (2026). Acuerdo de Confidencialidad para Due Diligence España — Ley 1/2019 LSE (España) [Legal document template]. Forms Legal. https://forms-legal.com/es/espana/business/contracts/acuerdo-confidencialidad-due-diligence-espana
"Acuerdo de Confidencialidad para Due Diligence España — Ley 1/2019 LSE (España)." Forms Legal, 2026, https://forms-legal.com/es/espana/business/contracts/acuerdo-confidencialidad-due-diligence-espana.
@misc{formslegal-acuerdo-confidencialidad-due-diligence-espana,
author = {{Forms Legal}},
title = {Acuerdo de Confidencialidad para Due Diligence España — Ley 1/2019 LSE (España)},
year = {2026},
howpublished = {\url{https://forms-legal.com/es/espana/business/contracts/acuerdo-confidencialidad-due-diligence-espana}},
note = {Free legal document template}
}También disponible para estas jurisdicciones:
Preguntas Frecuentes
La protección de secretos empresariales en España se rige principalmente por la Ley 1/2019, de 20 de febrero, de Secretos Empresariales (LSE), que transpuso la Directiva (UE) 2016/943 al ordenamiento español. El artículo 1 LSE define el secreto empresarial como aquella información que: (1) no es conocida generalmente ni fácilmente accesible en el sector correspondiente; (2) tiene valor comercial por su carácter secreto; y (3) ha sido objeto de medidas razonables para mantener su secreto por quien la controla —como acuerdos de confidencialidad, controles de acceso y protocolos de sala de datos—. Los artículos 3 a 5 LSE distinguen la obtención lícita (ingeniería inversa, descubrimiento independiente) de la obtención ilícita (infracción de acuerdos de confidencialidad, espionaje industrial, acceso no autorizado). Los remedios civiles de los artículos 9 a 11 LSE incluyen medidas cautelares y de cesación, indemnización de daños calculada sobre los beneficios del infractor o las pérdidas del titular, y secuestro de los bienes infractores. El Juzgado de lo Mercantil ostenta la jurisdicción competente. Las infracciones graves de secretos empresariales también pueden dar lugar a sanciones penales conforme al artículo 278 del Código Penal.
Los datos personales de empleados, clientes u otras personas físicas pueden compartirse durante la due diligence de M&A en España conforme al Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), sujetos a las siguientes condiciones. La base jurídica es habitualmente el interés legítimo del artículo 6.1.f del RGPD —el interés de las partes en evaluar la transacción—, sujeto a un juicio de proporcionalidad y necesidad. Los datos deben anonimizarse o seudonimizarse en la medida de lo posible antes de su divulgación. La parte receptora actúa como encargada del tratamiento de los datos personales accedidos en la sala de datos, lo que exige un acuerdo de encargado del tratamiento (DPA) conforme al artículo 28 RGPD. La Agencia Española de Protección de Datos (AEPD) ha confirmado en criterios interpretativos que la divulgación limitada de datos personales durante la due diligence es admisible bajo el interés legítimo, siempre que se informe a los interesados y los datos no se utilicen más allá de la finalidad de la transacción. Las transferencias de datos personales a partes receptoras situadas fuera de la UE exigen garantías adicionales conforme a los artículos 44 a 50 del RGPD.
El incumplimiento de un Acuerdo de Confidencialidad para Due Diligence España confiere a la parte divulgadora múltiples acciones conforme al derecho español. En virtud de los artículos 1101 y 1106 del Código Civil, la parte incumplidora responde de todos los daños y perjuicios directamente causados por el incumplimiento —incluidos el lucro cesante y el daño emergente derivados de la divulgación indebida—. Conforme a los artículos 9 a 11 de la Ley 1/2019 de Secretos Empresariales, la parte divulgadora puede solicitar: (1) la cesación del uso infractor; (2) la prohibición de divulgación futura; (3) el embargo y destrucción de los documentos infractores; (4) la indemnización calculada sobre las pérdidas reales de la parte divulgadora o el enriquecimiento injusto del infractor; y (5) la publicación de la sentencia en medios comerciales a expensas del infractor. Pueden solicitarse medidas cautelares al Juzgado de lo Mercantil conforme al artículo 721 LEC para impedir divulgaciones adicionales durante el proceso judicial. Cuando exista una vulneración de datos personales, también pueden aplicarse sanciones administrativas de la AEPD de hasta 20 millones de euros o el 4 % del volumen de negocios global anual conforme al artículo 83 RGPD.
La duración del Acuerdo de Confidencialidad para Due Diligence España se rige por el artículo 1255 del Código Civil —las partes tienen libertad para pactar cualquier plazo que no sea contrario a la ley, la moral o el orden público—. En la práctica española de M&A, las obligaciones de confidencialidad en los NDA de due diligence tienen una vigencia habitual de dos a cinco años desde la fecha de la primera divulgación, en atención a la sensibilidad comercial de la información y la duración prevista del proceso de la operación. Algunos NDA españoles distinguen entre la confidencialidad comercial general (dos a tres años) y las obligaciones de protección de datos personales (que conforme al RGPD deben mantenerse mientras la parte receptora conserve los datos). No existe un plazo máximo legal para las obligaciones contractuales de confidencialidad en España, aunque los tribunales han aplicado los principios de proporcionalidad de los artículos 7 y 1258 del Código Civil al examinar las cláusulas de confidencialidad perpetua en contratos mercantiles. Para los secretos empresariales que cumplan los requisitos de la Ley 1/2019 LSE, la protección legal se mantiene mientras la información conserve su carácter secreto, con independencia del plazo contractual del NDA.
El Acuerdo de Confidencialidad para Due Diligence suscrito por una persona jurídica en España vincula a la empresa conforme a los artículos 1257 y 1258 del Código Civil, y la empresa responde de los incumplimientos cometidos por sus empleados, administradores y asesores en el ejercicio de sus funciones o dentro del ámbito de su empleo. Para vincular directamente a los empleados de forma individual, cada empleado que acceda a la información confidencial de due diligence debe suscribir un compromiso individual de confidencialidad que haga referencia al NDA de due diligence. Conforme al artículo 5.a del Estatuto de los Trabajadores, los empleados tienen un deber general de buena fe y lealtad hacia su empleador, que abarca implícitamente la información confidencial recibida en nombre de este. Los administradores de sociedades españolas están sujetos al deber fiduciario específico de confidencialidad del artículo 228.b de la Ley de Sociedades de Capital (LSC, RDL 1/2010), que se extiende a la información recibida en su condición de administradores incluso después de cesar en el cargo. La Ley 1/2019 de Secretos Empresariales impone además responsabilidad directa a las personas físicas que obtengan, utilicen o divulguen ilícitamente secretos empresariales con independencia de la cobertura contractual.
La sala de datos virtual (VDR) es una plataforma en línea segura utilizada en las operaciones de M&A y financiación españolas para proporcionar acceso organizado y controlado a los documentos confidenciales de due diligence. La práctica española de M&A —en particular para operaciones supervisadas por la CNMV o que involucran entidades de capital riesgo registradas conforme a la Ley 22/2014— estructura habitualmente la VDR en secciones que comprenden: documentos societarios (estatutos sociales, escrituras, certificaciones del Registro Mercantil); información financiera (cuentas anuales auditadas, cuentas de gestión, declaraciones tributarias presentadas ante la AEAT); contratos (principales contratos con clientes y proveedores); laboral y RRHH (contratos de trabajo, nóminas, certificados de la TGSS); propiedad industrial y tecnología (registros OEPM, licencias de software); litigios (procedimientos judiciales pendientes); y cumplimiento normativo (licencias, autorizaciones sectoriales). El administrador de la VDR mantiene registros de acceso que documentan la actividad de cada usuario y sirven como prueba del alcance de la divulgación en eventuales litigios. Conforme a la Ley Orgánica 3/2018 (LOPDGDD), los operadores de VDR que tratan datos personales por cuenta de las partes de la operación actúan como encargados del tratamiento conforme al artículo 28 RGPD y deben cumplir los requisitos de seguridad del artículo 32 RGPD.
Esta plantilla se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico. Las leyes varían según la jurisdicción y cambian con el tiempo. Consulte a un abogado cualificado para obtener asesoramiento específico para su situación.Aviso legal completo
¿Encontró un error? AvísenosDocumentos Relacionados
También puede encontrar útiles estos documentos:
Acuerdo de Concesionario España — Código de Comercio art. 244
Acuerdo de Concesionario para España conforme al Código de Comercio arts. 244–280, la Ley 12/1992 de Contrato de Agencia y el Reglamento (UE) 2022/720 de exención por categorías (VBER), que regula la distribución exclusiva de productos entre concedente y concesionario.
Acuerdo de Confidencialidad Personal España — Código Civil art. 1255
Acuerdo de Confidencialidad Personal para España conforme al artículo 1255 del Código Civil y la Ley 1/2019 de Secretos Empresariales, que protege información personal, creativa o empresarial compartida entre particulares fuera de una relación laboral o mercantil formal.
Acuerdo de Consorcio España
Acuerdo de Consorcio para España — regulado por el Código Civil Artículo 1665 y la Ley de Contratos del Sector Público (Ley 9/2017), que establece una agrupación temporal entre empresas independientes para licitar y ejecutar un proyecto, concurso o contrato específico en el mercado español.
Acuerdo de Confidencialidad de Empleado España
Acuerdo de Confidencialidad de Empleado para España — conforme al artículo 5.a del Estatuto de los Trabajadores (RDL 2/2015) y la Ley 1/2019 de Secretos Empresariales, protegiendo los secretos comerciales, datos de clientes e información empresarial revelada al trabajador durante la relación laboral.