LA GUIDA

Tutela dei segreti commerciali: misure di segretezza e sicurezza per proteggere il know-how aziendale

La maggior parte delle imprese, non solo del settore industriale, possiede un autentico patrimonio di abilità, competenze e conoscenze, ma non ne ha piena consapevolezza e di conseguenza non lo valorizza, né tanto meno lo protegge. Ecco le linee guida per la tutela dei segreti commerciali

24 Apr 2020
D
David D’Agostini

Avvocato cassazionista e professore a contratto di informatica e diritto all’Università di Udine


La tutela dei segreti commerciali e delle informazioni riservate e le relative misure di sicurezza da adottare assumono una rilevanza strategica nella sana competizione tra imprese.

Per comprendere l’importanza di questo passaggio possiamo prendere in prestito la teoria astronomica secondo cui il 90% della massa presente nell’universo è costituita da “materia oscura” (che esiste, ma non la vediamo) e traslarla in ambito aziendale al cosiddetto “segreto commerciale”, inteso quale complesso di know-how (letteralmente “sapere come [si fa]”) e di informazioni tecniche e commerciali: infatti la maggior parte delle imprese – non solo del settore industriale – possiede un autentico patrimonio di abilità, competenze e conoscenze, ma non ne ha piena consapevolezza (a volte neppure parziale). Conseguentemente non lo valorizza, né tanto meno lo protegge.

Per gli economisti si tratta di un asset intangibile, per i giuristi di un bene immateriale, un tempo relegato a un ruolo piuttosto marginale nella famiglia dell’intellectual property; ma le cose stanno cambiando.

Tutela dei segreti commerciali: il quadro attuale

I dati statistici (da ultimo il Rapporto Clusit 2020) evidenziano un significativo aumento degli attacchi ascrivibili alla categoria dello “spionaggio industriale”, tra i quali possiamo senz’altro annoverare anche le sempre più frequenti esfiltrazioni di dati aziendali da parte di ex dipendenti/collaboratori.

Considerata l’estrema facilità con cui costoro spesso possono accedere a tali informazioni e salvarle su supporti esterni o in spazi cloud, possiamo supporre che il trend sopra registrato sia ancora in aumento e che i casi scoperti costituiscano una parte (auspicabilmente non troppo esigua) rispetto al reale numero totale di attacchi andati a buon fine.

Eppure, la normativa italiana e sovranazionale dagli Anni 90 in poi – partendo dagli accordi TRIPs siglati nel 1994 fino alla direttiva UE 2016/943 – ha riconosciuto e progressivamente aumentato la tutela a un’ampia gamma di informazioni, che si estendono dalle conoscenze tecnologiche ai dati commerciali quali ad esempio le informazioni sui clienti e i fornitori, i piani aziendali e le ricerche e le strategie di mercato.

Da ultimo il D.lgs. 63/18 (emanato proprio in attuazione alla citata direttiva europea) è entrato in vigore nel giugno 2018 nell’indifferenza dei più, forse oscurato dal ben più noto e temuto Regolamento generale per la protezione dei dati (GDPR) che, a ben vedere, oltre che proteggere i dati personali, avrebbe potuto – e ancor oggi può – costituire un ottimo punto di partenza anche per costruire un adeguata protezione ai dati non personali.

Ma procediamo con ordine, anche perché il tema in oggetto rappresenta non solo un interessante occasione di sinergia tra diverse competenze professionali (legali, informatiche, organizzative), ma anche un insidioso snodo tra differenti branche del diritto.

La novella del codice della proprietà industriale

Gli artt. 98 e 99 del codice della proprietà industriale (approvato con D.lgs. 10 febbraio 2005 n. 30) tutelano i segreti commerciali – intesi quali informazioni aziendali ed esperienze tecnico-industriali, comprese quelle commerciali – a patto che sussistano congiuntamente le seguenti condizioni:

  1. le informazioni devono essere segrete;
  2. devono avere valore economico, in quanto segrete;
  3. il detentore deve aver adottato misure ragionevolmente adeguate a mantenerle segrete.

In merito al primo punto, le informazioni sono considerate segrete quando (prese nel loro insieme o nella precisa configurazione e combinazione dei propri elementi) non risultano generalmente note ovvero non sono facilmente accessibili agli esperti e agli operatori del settore.

Conseguentemente non possono essere tutelate né le informazioni conosciute in base allo stato della tecnica, né quelle ricavabili in autonomia da un esperto del settore in tempi e con costi ragionevoli.

In tale ultima ipotesi rientra anche il cd. reverse engineering (vale a dire l’osservazione, lo studio, lo smontaggio o la prova di un prodotto) qualora sia di semplice attuazione; mentre al contrario laddove tale processo inverso comporti tempi e costi particolarmente significativi (valutazione da effettuarsi avendo come parametro le caratteristiche del mercato di riferimento), allora dev’essere riconosciuta la segretezza delle informazioni e accordata la protezione contro l’acquisizione abusiva.

Un tanto appare coerente con l’istituto giuridico in esame che, a differenza del brevetto, non impedisce a un competitor di arrivare al medesimo risultato, purché ciò sia frutto di un percorso autonomo di ricerca e sviluppo.

WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

Quanto al valore economico, la giurisprudenza degli ultimi quindici anni non ha preteso l’accertamento di un valore di mercato (ossia un prezzo di vendita) del know-how, ma ha ritenuto sufficiente la suscettibilità di sfruttamento e utilizzo nell’ambito di un’attività economica, il che accade quando il possesso di una determinata conoscenza assicura al detentore un vantaggio concorrenziale rispetto agli altri operatori del settore (o, viceversa, quando l’acquisizione illecita consente al percipiente di realizzare un risparmio di costi oppure di anticipare i tempi di ingresso in un determinato mercato).

Sul terzo requisito, che possiamo richiamare con l’espressione “misure di segretezza”, in assenza di un’elencazione analitica o quanto meno di una classificazione per categorie da parte del legislatore, le pronunce dei tribunali non sempre sono state omogenee.

Misure di segretezza e misure di sicurezza

Come detto, chi agisce in giudizio lamentando la violazione del proprio know-how aziendale ha l’onere di dimostrare – tra l’altro – di aver adottato le misure di segretezza e ciò in epoca antecedente alla divulgazione non autorizzata.

Ebbene, molte imprese (forse colte impreparate dalla sottrazione di documenti informatici aziendali da parte di ex lavoratori passati alla concorrenza) si sono limitate a sostenere di aver dotato i propri dipendenti di password per accedere al sistema informatico, con ciò affermando l’implicita volontà di precludere l’accesso ai soggetti non autorizzati e, in ultima istanza, di mantenere riservate le informazioni contenute nel sistema stesso.

Alcuni tribunali hanno condiviso tale argomentazione accogliendo le richieste di tutela giudiziale; altri, invece, le hanno respinte sul presupposto che un mero sistema di autenticazione (peraltro misura minima di sicurezza obbligatoria in base al Codice per la protezione dei dati personali fino al 25 maggio 2018) non fosse sufficiente a garantire la segretezza.

Pare, quindi, impossibile definire a priori e in senso assoluto le misure di segretezza, tuttavia possiamo distinguere tra misure di natura legale (per es. gli accordi di non divulgazione), tecniche (soprattutto informatiche) e organizzative (ad es. le zone ad accesso ristretto).

Si tratta dell’accennato punto di intersezione con il GDPR, che all’art. 32 prevede appunto l’obbligo di mettere in atto “misure tecniche e organizzative” tali da garantire un livello di sicurezza adeguato al rischio.

Di certo quest’ultima norma prende in considerazione esclusivamente i trattamenti di dati personali (ossia riferiti a persone fisiche), ma è evidente che la corretta adozione delle misure ivi imposte, non possa che andare nella direzione indicata dal codice della proprietà industriale, laddove richieda al detentore del know-how uno sforzo a protezione di tale bene immateriale.

Nel parallelismo tra le due discipline può essere utile anche parafrasare l’incipit del menzionato art. 32 declinandolo al segreto commerciale: l’imprenditore, nel decidere quali misure di segretezza adottare, potrà prendere in considerazione lo stato dell’arte (aspetto fondamentale sul versante tecnologico), i costi di attuazione, nonché la tipologia di informazioni che vuole tutelare (studi di laboratorio, esperienze tecniche, informazioni relative al processo distributivo, dati di marketing, liste dei clienti, etc.) secondo un principio di proporzionalità già riconosciuto dalla giurisprudenza delle Sezioni specializzate in materia di imprese.

A ben vedere, uno degli obbiettivi del GDPR nel perseguire la sicurezza del trattamento è proprio quello di garantire la riservatezza (insieme all’integrità e alla disponibilità), assicurando che a ogni informazione possa accedere solo il soggetto autorizzato in base alle proprie mansioni aziendali; anche in questo caso sussiste una convergenza rispetto al concetto sotteso all’art. 98 c.p.i.

In sintesi, gli sforzi economici, organizzativi e culturali profusi dalle aziende per raggiungere la conformità ai principi della data protecion possono (con le accortezze e i distinguo del caso) tornare utili anche per proteggere efficacemente il know-how e, nell’ipotesi peggiore, per dimostrare in giudizio che l’adozione di determinate soluzioni tecnologiche ha contribuito anche a mantenere la segretezza del medesimo.

In tema di misure di segretezza/sicurezza, sia consentito un cenno al rischio che determinati software aventi funzioni di monitoraggio delle risorse informatiche aziendali possano sconfinare in un trattamento di dati personali e/o in un controllo a distanza dei dipendenti. Naturalmente le misure in questione dovranno essere calibrate in modo tale da non uscire dai binari di liceità tracciati menzionato GDPR e dallo Statuto del lavoratori.

La tutela giudiziale dei segreti commerciali

Il know-how è un bene giuridico sprovvisto di titolo (non viene depositata alcuna domanda o rilasciato un attestato) la cui protezione legale dipende unicamente dalla sussistenza dei requisiti sopra richiamati.

L’assenza di un percorso dinnanzi ad un’autorità amministrativa (ci si riferisce all’iter di concessione di un brevetto per invenzione) può rendere meno economicamente oneroso l’impegno a carico dell’impresa, ma in ogni caso richiede un preventivo sforzo di diligenza dapprima nell’individuare e circoscrivere le informazioni oggetto di tutela e poi nel mantenerle segrete.

Laddove il legittimo detentore del know-how ne dimostri i presupposti, potrà ottenere dal Tribunale una serie di provvedimenti (anche in via cautelare) finalizzati a vietare ai terzi di acquisire, rivelare o utilizzare, in modo abusivo, i segreti sottratti, fatto sempre salvo il diritto al risarcimento del danno.

Tra le novità della riforma del 2018, vale la pena segnalare l’espressa previsione per cui l’acquisizione, l’utilizzazione o la rivelazione dei segreti commerciali si considerano illecite anche quando il soggetto era a conoscenza (o avrebbe dovuto esserlo) del fatto che i segreti commerciali erano stati ottenuti direttamente o indirettamente da un terzo che li utilizzava o rivelava illecitamente.

Per completezza è opportuno ricordare che ai rimedi del diritto civile si affiancano le sanzioni dell’ordinamento penale: il D.lgs. 63/18 ha novellato anche l’art. 623 c.p. – ora rubricato “Rivelazione di segreti scientifici o commerciali” – che punisce con la reclusione fino a due anni non solo chi rivela a terzi o utilizza i segreti commerciali appresi in ragione della sua attività lavorativa o professionale, ma anche chi ha acquisito in modo abusivo tali segreti e poi a sua volta li rivela o utilizza.

Tale reato risulta procedibile a querela della persona offesa entro tre mesi dalla scoperta (che, peraltro, raramente coincide con la commissione dell’illecito) e, ulteriore novità, prevede un’aggravante speciale qualora il fatto sia commesso tramite qualsiasi strumento informatico.

Ma a ben vedere – e l’esperienza delle Procure della Repubblica lo conferma – qualora vengano esfiltrati documenti informatici aziendali potrà essere contestato anche il delitto previsto e punito dall’art. 615 ter c.p.; quest’ultima norma protegge il cd. “domicilio informatico”, sanzionando chi abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo.

È interessante notare la presenza anche in questa norma del concetto di “misure di sicurezza”, da intendersi quale insieme di soluzioni tecniche e disposizioni organizzative attraverso cui si palesa lo ius excludendi alios (autenticazione, sistemi di autorizzazione, regolamenti e procedure interne ecc.).

Prospettive e conclusioni

In passato il know-how era un argomento che interessava prevalentemente il settore industriale e veniva considerato il “parente povero” del brevetto per invenzione (spesso costituiva un ripiego laddove il ritrovato inventivo non avesse i requisiti per ottenere il titolo brevettuale) oppure una sorta di corollario al medesimo (si pensi alla protezione delle informazioni segrete che non erano confluite nella descrizione e negli allegati tecnici della domanda di brevetto).

Ora lo scenario pare in evoluzione.

Da una parte – con l’industria 4.0 – all’attività di ricerca e sviluppo tradizionale si è affiancata la raccolta e l’elaborazione dei big data che forniscono alle imprese conoscenze preziosissime. Dall’altra parte, anche in settori non industriali, vi è un’irrefrenabile corsa a ogni tipo di informazioni: a titolo esemplificativo, basti considerare gli elenchi della clientela – sia business, che consumer – con le relative annotazioni (beni o servizi acquistati, sconti praticati, abitudini di consumo ecc.).

D’altronde che i dati siano il nuovo petrolio è ormai un’espressione abusata, ma veritiera. E questo non può che far aumentare la quantità di informazioni aziendali che, se debitamente individuate e mantenute riservate, potranno essere protette quali segreti commerciali.

Infine, non a caso, il ruolo non succedaneo del know-how è stato riconosciuto anche in ambito fiscale atteso che il Patent Box (regime di tassazione agevolato di recente introduzione) risulta applicabile anche a processi, formule e informazioni relativi a esperienze acquisite nel campo industriale, commerciale o scientifico, purché giuridicamente tutelabili: in pratica devono essere soddisfatti i requisiti previsti dall’art. 98 c.p.i.

WEBINAR
Sicurezza IT: focus su casi reali, “schemi di gioco” e organizzazioni criminali
Cybersecurity
Sicurezza dei dati

Dinnanzi alle opportunità sopra accennate, il percorso sembrerebbe già tracciato e alle imprese non resta che percorrerlo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3