x

x

Segreti commerciali e data protection: quid iuris?

Segreti commerciali
Segreti commerciali

Indice:

1. Il caso deciso dal Tribunale di Milano

2. I rapporti tra segreti commerciali e dati personali

3. Sinergie e bilanciamenti tra le discipline in materia di protezione dei dati personali e di segreti commerciali

 

1. Il caso deciso dal Tribunale di Milano

Con una recente sentenza (si tratta della decisione n. 8246/2019 del 26 settembre 2019, al momento inedita), il Tribunale di Milano ha condannato due dipendenti per avere divulgato informazioni aziendali riservate della società ex datrice di lavoro alla nuova società dalla quale erano stati assunti: in particolare, l’indebito utilizzo era avvenuto attraverso screenshot, mediante i quali erano stati indebitamente acquisiti informazioni e curricula, successivamente inviati via email alla nuova società.

La decisione è rilevante non solo per la riconosciuta contrarietà della condotta dei due dipendenti all’articolo 99 del Codice di Proprietà Industriale, per l’indebito utilizzo di informazioni riservate, ma anche per aver accertato la responsabilità a carico della nuova società ai sensi dell’articolo 2049 Codice Civile.

A quest’ultimo riguardo, infatti, il Tribunale di Milano ha attribuito rilievo ad alcuni elementi, tra cui (i) la memorizzazione delle informazioni sottratte su computer aziendali assegnati ai dipendenti e inserite poi nel data base aziendale, (ii) l’utilizzo delle stesse informazioni per consentire alla nuova società indebiti vantaggi sul piano commerciale, nonché, ulteriormente (iii) un accordo tra la nuova società datrice e i dipendenti, mediante il quale questi ultimi erano manlevati dalla prima per spese legali e risarcimenti dovuti a causa di un’eventuale condanna per violazione del patto di non concorrenza.

La decisione merita certamente considerazione per l’ulteriore riconoscimento di responsabilità ai sensi dell’articolo 2049 Codice Civile che, in tema di responsabilità dei padroni e committenti, è applicabile anche per i fatti illeciti commessi dai dipendenti ed esorta, pertanto, i datori di lavoro ad una attenta regolamentazione, vigilanza e gestione del rapporto con il proprio personale.

Va, tuttavia, rilevato che, oltre ai profili di responsabilità individuati dal Tribunale di Milano, nelle decisioni in tema di sottrazione di informazioni aziendali riservate che – come nel caso di specie – comprendano anche dati personali, potrebbe considerarsi un ulteriore e non meno importante riflesso, legato alla disciplina della protezione dei dati personali.

In sintesi, le controversie in tema di indebito utilizzo di informazioni riservate (comprendenti anche dati personali) possono comportare conseguenze e profili di responsabilità anche alla luce della disciplina in materia di protezione dei dati personali.

 

2. I rapporti tra segreti commerciali e dati personali

Sul rapporto tra segreti commerciali e dati personali aveva già avuto modo di soffermarsi e di svolgere alcune considerazioni il Garante Europeo della Protezione dei Dati che nella propria “Opinion on the proposal for a directive of the European Parliament and of the Council on the protection of undisclosed know-how and business information (trade secrets) against their unlawful acquisition, use and disclosure” aveva richiamato l’attenzione sulla particolare correlazione tra informazioni segrete e dati personali.

Nello specifico, il Garante Europeo aveva fatto riferimento al documento “Staff Working Document Impact Assessment della Commissione UE che, in uno degli allegati riferito agli “Impacts of policy options on fundamental rights, aveva espressamente rilevato che Information kept as trade secrets (such as list of clients/customers; internal datasets containing research data or other) may include personal data”.

Nel considerare alcuni richiami, contenuti nei considerando della proposta di direttiva, alla tipologia delle informazioni oggetto di riservatezza, tra cui ad esempio informazioni su clienti e fornitori, il Garante Europeo aveva, pertanto, indicato la necessità che nella proposta di direttiva oggetto di analisi fosse prestata particolare attenzione al diritto alla riservatezza e alla protezione dei dati personali di soggetti i cui dati erano oggetto di tutela  anche come segreti commerciali (come ad esempio nel caso delle informazioni sulla clientela).

In sintesi, le osservazioni del Garante Europeo evidenziavano come l’allora Direttiva 95/46 e la proposta di direttiva sulla protezione del know-how avessero ad oggetto il riconoscimento di due differenti forme di protezione, che, in taluni casi – laddove le informazioni segrete includessero anche dati personali – potevano  dare luogo ad interferenze, con la inevitabile necessità di provvedere ad individuare criteri per la relativa applicazione.

Interessante, nell’Opinion l’ulteriore constatazione del Garante Europeo, secondo il quale il soggetto che dispone di informazioni segrete – nei casi in cui tali informazioni si riferiscano a soggetti identificati o identificabili e siano pertanto da considerarsi nella duplice valenza di segreti commerciali e di dati personali – sia da considerarsi anche quale “titolare” del trattamento, in base a quanto previsto dalla normativa in materia di data protection.

 

3. Sinergie e bilanciamenti tra le discipline in materia di protezione dei dati personali e di segreti commerciali

In virtù di quanto sopra, non può non rilevarsi come la disciplina in tema di protezione dei dati personali e quella sulla protezione del know-how e delle informazioni commerciali riservate (segreti commerciali) abbiano inevitabilmente dei punti di contatto, la cui interazione, applicata all’ambito aziendale, dovrebbe indurre l’imprenditore ad una particolare attenzione nella gestione dei dati aziendali e ad un rafforzamento dei relativi strumenti di tutela.

Proprio in forza del principio di accountability, introdotto dal GDPR, il titolare è chiamato ad una attenta e circostanziata gestione delle attività aziendali e all’individuazione di adeguate misure di sicurezza, ciò ancor più per i casi di data breach, allo scopo di assicurare un’efficace protezione ed un tempestivo intervento in conseguenza di una “violazione dei dati personali”, che – come noto, secondo la definizione contenuta nel GDPR – comprende anche casi di divulgazione non autorizzata ai dati personali.

Parallelamente, sul fronte della tutela delle informazioni aziendali segrete, il soggetto al cui legittimo controllo le informazioni sono soggette, è tenuto ad adottare “misure ragionevolmente adeguate a mantenerle segrete”, per poter beneficiare della tutela ex lege prevista.

Il combinato disposto delle discipline in questione comporta, quindi, un evidente incremento della valorizzazione di tutto il patrimonio informativo aziendale ed un conseguente rafforzamento dei presidi e delle misure posti a protezione delle informazioni stesse.

Analizzando, invece, i casi di potenziale conflitto tra le normative in questione, l’attenzione va posta, in particolare, ad alcuni dei diritti che il GDPR prevede a tutela dei soggetti interessati e, segnatamente, al diritto di accesso e al diritto di portabilità (rispettivamente disciplinati dagli articoli 15 e 20 del GDPR). L’esercizio di entrambi questi diritti soggiace al limite di non ledere i diritti e le libertà altrui, espressione delle limitazioni generali esplicitate all’articolo 23 del GDPR.

È evidente, infatti, che se alcuni dati aziendali rientrano nella duplice tutela riconosciuta alle informazioni aziendali segrete o riservate e, allo stesso tempo, ai dati personali, la gestione di tali diritti dà inevitabilmente luogo a situazioni di conflitto e richiede, pertanto, operazioni di bilanciamento.

In proposito, significativo è stato un caso, verificatosi nel 2011, che aveva visto contrapposto Facebook ad un proprio utente, in seguito alla richiesta di quest’ultimo di accesso ai propri dati e a cui Facebook aveva replicato precisando di non avere fornito le informazioni coperte da segreti commerciali o da diritti di proprietà intellettuale.

Proprio tale precedente aveva indotto il Garante Europeo nell’Opinion sopra citata a richiedere che la proposta di direttiva oggetto di esame contenesse un esplicito riferimento alla normativa sulla protezione dei dati personali (i.e.: l’allora vigente Direttiva 95/46) e in particolare al fatto che la tutela dei segreti commerciali non interferisse in alcun modo con i diritti sui dati personali degli interessati.

Nello specifico, il Garante Europeo aveva rilevato che le disposizioni relative all’acquisizione, utilizzo e divulgazione dei segreti commerciali fossero integrate, prevedendo che le misure, procedure o strumenti di tutela a beneficio dei “detentori” di segreti commerciali non potessero, comunque, dare luogo a limitazioni o restrizioni dei diritti dei soggetti interessati sui relativi dati personali. 

In risposta a tali indicazioni, il testo definitivo della Direttiva (UE) 2016/943 ha espressamente riconosciuto al considerando 34 la necessità di un contemperamento con alcuni diritti fondamentali, tra cui il diritto alla protezione dei dati personali, precisando altresì al successivo considerando che “È importante che siano rispettati i diritti al rispetto della vita privata e familiare, nonché alla protezione dei dati personali di tutti coloro i cui dati personali possono essere oggetto di trattamento, nell’adottare misure intese a proteggere il segreto commerciale…., ribadendo, inoltre, che “La presente direttiva non dovrebbe pertanto pregiudicare i diritti e gli obblighi stabiliti dalla Direttiva 95/46, in particolare i diritti della persona  interessata ad accedere ai suoi dati personali che sono oggetto di trattamento…”.

Analogamente, sul fronte data protection, il GDPR al considerando 64 specifica che “Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che lo riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli…”  evidenziando ulteriormente che “Tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale… Tuttavia tali considerazioni non dovrebbero condurre ad un diniego a fornire all’interessato tutte le informazioni”.

I rilievi che precedono esprimono un’evidente necessità di bilanciamento tra il diritto fondamentale alla protezione dei dati personali ed altri diritti fondamentali (tra cui, ad esempio, i diritti di libertà di espressione e il diritto alla protezione della proprietà intellettuale), su cui nel corso del tempo ha avuto modo di esprimersi, in particolare, la Corte di Giustizia.

Con riferimento specifico ai casi di indebito utilizzo di informazioni aziendali riservate che contengano anche dati personali sarà necessario, pertanto, procedere ad operare il necessario bilanciamento, tenendo conto delle indicazioni – sia pur non del tutto esaustive – fornite dal legislatore europeo e contestualizzandole con riferimento ad ogni singolo caso, pur dovendosi, comunque, tenere conto, in base ai rilievi soprariportati, di una sorta di favore verso la disciplina in tema di protezione dei dati personali.

Per saperne di più

European Data Protection Supervisor – Opinion on the proposal for a directive of the European Parliament and of Council on the protection of undisclosed know-how and business information (trade secrets) against their unlawful acquisition, use and disclosure – 12 Marzo 2014;

Commission Staff Working Document Impact Assessment – Accompanying the document proposal for a Directive of the European Parliament and of the Council on the protection of undisclosed know-how and business information (trade secrets) against their unlawful acquisition, use and disclosure [SWD/2013/0471 final];

Caso Facebook vs M. Schrems – 28 Settembre 2011 - leggibile alla pagina web: http://www.europe-v-facebook.org/FB_E-Mails_28_9_11.pdf;

G. Malgieri, Trade Secrets v Personal Data: a possible solution for balancing rights, in International Data Privacy Law, Volume 6, Issue 2, 2016, pp. 102-116.