Sempre più strategica per le aziende è la creazione di sistemi di Customer Relationship Management (“CRM”) sicuri. Capaci di organizzare, in sicurezza e in modo integrato i dati dei clienti.
Dati raccolti attraverso i diversi canali di contatto (punti vendita, siti web, app) e relativi ai diversi prodotti e ai diversi brand che l’azienda ha in portafoglio.
Proteggere il CRM aziendale è centrale in questo processo.
Indice degli argomenti
I dati dell’osservatorio del Polimi sulla sicurezza del CRM aziendale e protezione dei dati personali
Per focalizzare l’importanza di un corretto processo di protezione del CRM aziendale basta analizzare i risultati dell’Osservatorio Omnichannel Customer Experience del Politecnico di Milano secondo cui, in Italia, i clienti multicanale raggiungono oggi i 35,5 milioni (Osservatorio Multicanalità, 2018).
Sotto il profilo giuridico, tale esigenza, per un verso, impone il rispetto degli obblighi di legge in materia di protezione dei dati personali e, in particolare, quindi, delle previsioni del GDPR (Regolamento UE 2016/679), oltre che della normativa nazionale così come rivista alla luce del D.lgs. 101/2018; e, per altro verso, suggerisce di compiere i passi necessari per garantire al CRM ed ai dati ivi contenuti una efficace protezione legale, come asset dell’azienda.
Un complesso di dati personali, raccolti o trattati in violazione degli obblighi di legge, non solo risulterebbe privo di valore alcuno (ad esempio, nel caso di cessione del ramo d’azienda a terzi o di altre operazioni di M&A), ma esporrebbe anzi l’azienda al rischio di incorrere in rilevantissime sanzioni, che possono arrivare sino al 4% del fatturato generato a livello globale nel corso del precedente esercizio. La compliance diviene, quindi, un fattore determinante.
Sotto altro profilo, così come l’azienda protegge il proprio know how tecnologico, altrettanto dovrebbe fare con riguardo al know how commerciale, comprensivo dell’insieme di informazioni relative alla propria clientela, attuale e potenziale, ed al vantaggio competitivo che tale set di dati è in grado di garantire.
Un compromesso tra protezione dati e segreto aziendale
Ai fini della valorizzazione e della tutela di un CRM aziendale, vi è, quindi, un rapporto di complementarietà tra la normativa in materia di protezione dei dati personali e la normativa in materia di segreti aziendali, che – al pari della prima – è stata recentemente emendata con l’entrata in vigore del decreto legislativo n.63 dell’11 maggio 2018, che ha recepito la Direttiva (UE) 2016/943 “sulla protezione del know-how riservato e delle informazioni commerciali riservate contro l’acquisizione, l’utilizzo e la divulgazione illeciti”, andando a modificare le relative previsioni del Codice della Proprietà Industriale, D.lgs. 30/2005 (“CPI”).
Ciò detto, è opportuno tracciare una linea di demarcazione tra il concetto di titolarità ai sensi del GDPR e il concetto di titolarità sotto il profilo della proprietà industriale.
Ai sensi del GDPR, la titolarità si riferisce al trattamento dei dati e non ai dati in sé: titolare del trattamento è il soggetto che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; e l’attribuzione di tale ruolo comporta l’assunzione di specifici obblighi e di specifiche responsabilità, prima ancora che l’acquisizione di diritti nei confronti di terzi.
In materia di proprietà industriale, per converso, la legittima detenzione di informazioni commerciali segrete e che abbiano un valore economico – ivi inclusi anche dati di natura personale riferibili a clienti o a prospect – proprio in quanto segrete, attribuisce all’azienda la titolarità di specifici diritti su tali informazioni.
L’articolo 99 CPI, così come novellato dall’art. 4 del D.lgs. 63/2018, dispone, infatti, che: “il legittimo detentore dei segreti commerciali di cui all’articolo 98, ha il diritto di vietare ai terzi, salvo proprio consenso, di acquisire, rivelare a terzi od utilizzare, in modo abusivo, tali segreti, salvo il caso in cui essi siano stati conseguiti in modo indipendente dal terzo”.
E l’articolo 98 CPI, ivi richiamato, precisa che: “Costituiscono oggetto di tutela i segreti commerciali. Per segreti commerciali si intendono le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore, ove tali informazioni:
- siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore;
- abbiano valore economico in quanto segrete;
- siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete”.
Detenzione dei dati personali dei clienti in un CRM: le basi giuridiche
Pertanto, tornando al caso che ci occupa, la legittima detenzione dei dati personali dei clienti organizzati in un CRM aziendale – ove ricorrano le condizioni sopra menzionate – attribuisce all’azienda un diritto di privativa su tali informazioni e, quindi, il diritto di vietare a terzi qualsiasi utilizzo delle stesse, rendendo accessibili all’azienda, in caso di violazione, strumenti processuali particolarmente efficaci, riservati ai soli titolari di diritti di proprietà industriale: si pensi alla descrizione o al sequestro regolati rispettivamente dagli articoli 128 e 129 CPI; misure che potrebbero naturalmente essere azionate anche nei confronti di partner commerciali o di fornitori di servizi infedeli, che utilizzino i dati personali inclusi in un CRM e a cui hanno accesso per ragioni di servizio, per finalità difformi ed esorbitanti rispetto a quelle contrattualmente autorizzate.
Anche sotto questo profilo, non si può, tuttavia, ignorare la stretta connessione con la normativa in materia di protezione dei dati personali.
La “legittimità della detenzione” di un insieme organizzato di dati personali presuppone, infatti, la “compliance” anche sotto il profilo privacy. In difetto, la base di dati sarebbe priva di valore alcuno e, quindi, inservibile.
In secondo luogo, requisito per accedere alla tutela industrialistica è la circostanza che le informazioni in questione siano sottoposte, da parte dell’azienda, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.
Al riguardo, l’articolo 32 del GDPR – al fine di garantire la sicurezza dei dati personali – prescrive, a carico del titolare del trattamento, l’obbligo di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza commisurato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche interessate.
Proteggere i dati personali e le informazioni commerciali presenti in un CRM
Sebbene le misure di sicurezza prescritte dal GDPR siano volte a tutelare i diritti delle persone a cui i dati personali trattati si riferiscono (nel caso di un CRM, clienti e prospect), appare evidente come l’adozione delle stesse possa essere, a buon diritto, invocata dall’azienda anche al fine di dimostrare la legittimazione a tutelare le informazioni commerciali in questione ai sensi degli articoli 98 e 99 CPI.
Ecco, dunque, che quelle stesse misure che – in un’ottica di mera compliance – rappresentano per l’azienda una voce di costo, al contempo vanno a comporre un passaggio indispensabile alla valorizzazione di un asset aziendale di grande importanza strategica, qual è il CRM. Senza l’adozione di tali misure, l’azienda non sarebbe infatti legittimata ad azionare i menzionati diritti.
Ciò detto, ci si deve domandare se le misure tecniche ed organizzative adottate dal titolare del trattamento ai sensi del GDPR, sia internamente all’azienda, sia nei rapporti con i terzi, possano ritenersi misure “ragionevolmente adeguate” a mantenere segrete le informazioni in questione, anche ai sensi dell’articolo 98 CPI.
A tal fine, la valutazione del rischio, sotto il profilo privacy, non necessariamente coincide con la valutazione del rischio sotto il profilo della sottrazione di segreti aziendali, per quanto, tanto più dettagliati saranno i dati personali e più numerosi i profili disponibili in un CRM, tanto più elevato sarà verosimilmente il grado di rischio sulla base di entrambi i criteri considerati.
Va, inoltre, aggiunto che la raccolta di dati personali, nel rispetto delle norme di legge e la loro conservazione applicando misure di sicurezza adeguate, sia sotto il profilo organizzativo, sia sotto il profilo tecnico, non sono peraltro adempimenti di per sé sufficienti a garantire all’azienda la possibilità di validamente utilizzare e tutelare giuridicamente, ai sensi degli articoli 98 e 99 CPI, tali informazioni nel tempo.
Proteggere il CRM aziendale secondo il principio di accountability
Quando si parla di dati personali, la “legittimità della detenzione” non è, infatti, un concetto statico né tantomeno definitivo, in quanto una base di dati contenenti informazioni di carattere personali – per considerarsi legittimamente detenuta – richiede una costante manutenzione, sulla base delle prescrizioni in materia di protezione dei dati personali. Pertanto, il solo fatto che le informazioni siano state raccolte nel rispetto degli obblighi di legge, non significa che, a distanza di tempo, esse possano considerarsi lecitamente detenute, ad esempio, ove sia venuta meno la base giuridica che ne giustificava il trattamento o ove l’interessato ne abbia legittimamente richiesto la cancellazione.
In ultima analisi, il CRM è un asset di grande importanza la cui legittima detenzione e il cui valore, anche sotto il profilo della tutela industrialistica, non possono, tuttavia, prescindere da una cura costante dei dati personali ivi contenuti, in osservanza degli obblighi di legge e, più, in generale di quel principio di “accountability” sul quale l’intero impianto del GDPR si fonda.
