Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA PRATICA

Processo di protezione dei segreti aziendali, tra cyber security e GDPR: ecco come applicarlo

Al netto della normativa in tema di segreti aziendali, è utile che le organizzazioni seguano un processo strutturato per proteggere al meglio il proprio know how, sfruttando l’allineamento tra discipline differenti per ottenere una ottimale protezione dei segreti aziendali. Ecco come applicarlo

20 Feb 2020
M
Nadia Martini

Avvocato, Associate Partner - Rödl & Partner

M
Rosa Mosca

IP specialist - Rödl & Partner

S
Valeria Specchio

Junior Associate - Rödl & Partner


Parlando di processo di protezione dei segreti aziendali è opportuno iniziare dalla conoscenza della normativa in materia.

La direttiva n. 943/2016 volta alla “protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti” è stata pubblicata nella Gazzetta dell’Unione Europea l’8 giugno 2016 ed è stata recepita in Italia con il Decreto Legislativo n. 63/ 2018 entrato in vigore a far data dallo scorso 22 giugno 2018.

Tale normativa nasce dalla necessità di introdurre uno strumento giuridico di tutela del segreto commerciale (o anche detto aziendale) efficace e comparabile in tutta l’Unione, senza il quale gli incentivi a intraprendere attività transfrontaliere innovative sul mercato interno risultano indeboliti e i segreti commerciali non sono in grado di mettere a frutto le loro potenzialità di motori della crescita economica e dell’occupazione.

La norma in commento impone ai destinatari della stessa, che vogliano proteggere i segreti aziendali e goderne della relativa tutela, l’obbligo dell’adozione di misure tecniche e organizzative adeguate a mantenere le informazioni e le esperienze tecnico-industriali segrete.

A livello nazionale, la tutela apprestata dal legislatore è contenuta nel Codice della proprietà industriale che all’art. 98, come novellato dal decreto di attuazione della Direttiva, indica che costituiscono oggetto di tutela i segreti commerciali, ossia le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali (ad es. la lista di clienti, fornitori, prodotti ecc.), soggette al legittimo controllo del detentore, a condizione che tali informazioni abbiano i seguenti requisiti:

  • segretezza: nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore;
  • valore economico: abbiano valore economico in quanto segrete ovvero siano suscettibili di sfruttamento ed utilizzo nell’ambito di un’attività economica con relativo vantaggio concorrenziale da parte del detentore degli stessi;
  • misure di sicurezza: le informazioni devono essere sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.

Tale ultimo aspetto è molto importante soprattutto alla luce della Direttiva che, all’art. 11, enuncia il principio secondo cui le autorità, competenti a giudicare della sussistenza o meno della violazione del segreto, devono valutare anche se il soggetto il cui diritto si ritiene violato abbia attuato le dovute misure per la tutela. In caso negativo, seppure un’informazione risultasse segreta, non sarebbe tutelabile a livello giudiziale.

È dunque necessario costruire una corretta protezione, dimostrabile e documentabile e verificabile caso per caso.

Ma come procedere concretamente alla tutela del know how aziendale e quali misure adottare?

Il processo di protezione dei segreti aziendali

La normativa non indica quali siano esattamente le azioni né le misure da adottare né come possano essere individuate.

La prassi supplisce però al gap normativo, mutuando il processo di protezione dei segreti aziendali da adottare da normative dettate per temi differenti ma assimilabili, ossia:

  • la normativa di cyber security, volta alla protezione di sistemi e reti: il 6 luglio 2016 è entrata in vigore la direttiva UE n. 1148/2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi, la cosiddetta NIS. L’8 maggio 2018 la direttiva è stata recepita in Italia con il D.lgs. n. 65/2018. Il comparto normativo di cyber sicurezza è stato poi completato dal Regolamento (EU) 2019/881 (il cosiddetto Cybersecurity Act);
  • la normativa in tema di trattamento di dati personali, volta alla protezione dei dati che permettano di identificare anche indirettamente una persona fisica: il Regolamento Privacy Europeo n. 679/2016, operativo dal 25 maggio 2018, recante misure adeguate in materia privacy (il cosiddetto GDPR).
WHITEPAPER
I Servizi Gestiti possono essere un’attività estremamente redditizia. Quali gli strumenti utili?

Ambo le discipline prevedono che, al fine di individuare le misure tecniche e organizzative adeguate a proteggere sistemi e reti (nel caso di cyber security) e dati (nel caso di GDPR), ogni destinatario della normativa debba adottare un processo di adeguamento che preveda quanto meno i seguenti step:

  • l’assessment: è la fase volta ad effettuare un assessment di rischio e di impatto, ossia un’analisi concreta degli impatti e dei rischi della violazione, nonché del dettaglio delle misure esistenti a protezione;
  • la remediation: è la fase volta alla individuazione delle misure di rimedio necessarie a rafforzare la protezione;
  • il monitoraggio: è la fase volta a pianificare la implementazione ed il monitoraggio delle misure adottate a protezione.

Tale processo può ben essere applicato anche a tutela dei segreti aziendali.

Vediamo come.

L’assessment

Anzitutto, ogni soggetto che voglia tutelare le proprie informazioni industriali dovrà adottare un processo e fare un inventario di tutti i segreti aziendali che intenda proteggere e delle misure adottate a protezione, tenendo in conto lo stato dell’arte (avanzamento tecnologico), i costi di attuazione (delle misure di sicurezza), la natura, l’oggetto, il contesto e le finalità del trattamento dei dati, nonché il rischio di varia probabilità e gravità.

In particolare, nel valutare l’adeguato livello di sicurezza, si dovranno tenere in conto i rischi che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, dei segreti aziendali.

È quindi importante effettuare una specifica analisi del rischio dei segreti aziendali, al fine di garantire un livello di sicurezza adeguato al rischio.

La remediation: i principi

Completata la fase dell’assessment e così individuati i segreti, gli impatti e i rischi per la loro violazione, nonché le misure esistenti, ogni azienda sarà quindi in grado di effettuare la propria Gap Analysis in modo da identificare le misure ulteriori di rimedio necessarie a proteggere in concreto e meglio i segreti e pianificarne la relativa implementazione.

Tra le misure da adottare possono farsi rientrare, a detta della giurisprudenza in materia di segreti industriali, quelle:

  • endoaziendali: ossia strumenti di ostacolo “concreto” (mobili chiusi a chiave, badge, casseforti ecc.) e le misure volte a proteggere la documentazione digitale e le reti telematiche (password, chiavi di rete, firme digitali, algoritmi di cifratura ecc.);
  • esoaziendali: ossia le prassi concernenti i rapporti dell’azienda con soggetti esterni (fornitori, clienti, consulenti etc.) con cui la stessa condivida informazioni per natura segrete.

Ma in concreto le aziende quali misure possono implementare per garantire la sicurezza dei segreti aziendali?

La remediation: la pratica

Mancando una disciplina ad hoc, le misure possono essere mutuate in analogia dalla normativa Cybersecurity e dal GDPR sopra citati.

In particolare, i soggetti che debbono proteggere i propri segreti possono adottare misure adeguate al segreto in esame e precisamente possono essere considerate:

  • misure organizzative mutuate dalla Cybersecurity volte a garantire:
  1. la sicurezza fisica e dell’ambiente: disponibilità di una serie di misure volte a proteggere le reti e i sistemi informativi dai danni attraverso un risk-based global approach (es. in previsione di errori di sistema, gli errori umani, gli atti dolosi o i fenomeni naturali);
  2. la sicurezza delle forniture: definizione e il mantenimento di politiche adeguate al fine di assicurare l’accessibilità e, se del caso, la tracciabilità delle forniture critiche utilizzate nella prestazione dei servizi;
  3. i controlli dell’accesso alle reti e ai sistemi informativi: disponibilità di una serie di misure per assicurare un accesso fisico e logico alle reti e ai sistemi informativi (inclusa la sicurezza amministrativa di tali reti e sistemi) autorizzato e limitato sulla base di esigenze aziendali e di sicurezza;
  • misure organizzative mutuate dal GDPR volte a garantire:
  1. la regolazione dei flussi di risorse, anche a livello umano, mediante l’adozione di procedure interne e di un adeguato modello organizzativo;
  2. l’adozione di procedure di gestione dei rischi e di segnalazione degli incidenti;
  3. la formazione del personale.
  • misure tecniche mutuate dalla Cybersecurity e dal GDPR, tra cui:
  1. le misure di privacy by design, pseudo-anonimizzazione, patching, logging;
  2. le misure volte a garantire capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (ovvero, anche la capacità del sistema di resistere e reagire);
  3. le procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
  4. il controllo degli accessi alle postazioni PC, nonché ad altri terminali, mediante username e password per ogni singolo operatore che gestisca segreti industriali;
  5. la riservatezza delle username e password devono essere riservati, che non vanno scritti su carta e collocati a vista presso la postazione PC, sono personali e non cedibili a nessuno;
  6. la custodia della password che deve essere cambiata periodicamente, deve essere “complessa” e non va ceduta a nessuno;
  7. le soluzioni di crittografia per gli archivi elettronici;
  8. la replica delle stesse misure di sicurezza sui terminali mobili (smartphone, tablet ecc.).

Il monitoraggio

In ultimo, completata la fase della remediation, occorre pianificare il monitoraggio.

Le aziende dovranno quindi attribuire l’attività di verifica della efficienza e bontà delle misure adottate a protezione dei segreti, calendarizzarla e documentarla con appositi audit e check-list di dettaglio.

A tal fine, potrà essere utile anche in questo caso ispirarsi alle soluzioni di monitoring previste dalla normativa cyber security e dal GDPR, che prevedono che l’attività in commento debba essere regolata con procedure adeguate, attribuita a funzioni dedicate (comitati, funzione di compliance, OdV) e soggetta ad appositi audit periodici.

Considerazioni finali

In conclusione, appare evidente come le aziende abbiamo svariati strumenti per applicare un processo di protezione dei segreti aziendali.

In particolare, adeguate misure possono essere rinvenute nelle norme in tema cyber security e di dati personali, che insegnano – per il proprio ambito di competenza – un processo che le aziende possono usare non solo per proteggere reti, sistemi e dati, ma anche per proteggere al meglio il proprio know how.

Di conseguenza, le aziende – che già abbiano avviato o stiano avviando un processo di allineamento alle norme citate – possono con facilità far economia dell’investimento fatto e sfruttarlo anche per garantire la protezione più adeguata del know how aziendale.

O, in alternativa, le aziende che si approccino per la prima volta al tema possono adottare misure a tutela del know how aziendale e sfruttarle anche per la protezione di dati e sistemi.

Con relativo miglior uso degli investimenti economici fatti che verranno così sfruttati anche a favore di una maggiore protezione dell’asset immateriale del segreto aziendale.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5