Il saggio approfondisce il terzo requisito dei segreti commerciali secondo l’art. 98, lett. c), c.p.i., ossia l’adozione, da parte del titolare, di misure ragionevolmente adeguate a mantenere il segreto. Il saggio indaga anzitutto la ratio di questo requisito e propone l’interpretazione per cui esso svolge tre funzioni: identificazione dell’informazione che si vuole proteggere come segreto, instaurazione e mantenimento del diritto su di essa, e infine creazione della sfera di riservatezza costituente l’oggetto della tutela. Il saggio si concentra poi sul significato del requisito e propone l’interpretazione per cui esso è soddisfatto laddove il titolare del segreto adotti tre tipologie di misure: la rigorosa selezione delle persone autorizzate ad accedere al segreto, l’adozione di misure intese ad evitare che il segreto venga violato dalle persone non autorizzate a conoscerlo, e infine l’adozione di misure intese ad evitare che il segreto venga violato dalle persone che sono state autorizzate a conoscerlo.
Parole chiave: segreti commerciali, know-how, informazioni riservate, misure di protezione, accordi di riservatezza
The essay explores the third requirement of trade secrets according to art. 98, letter c), of the Italian Industrial Property Code, namely the adoption, by the trade secret holder, of reasonable measures to maintain the secrecy. The essay first investigates the ratio of this requirement and proposes the interpretation that it has three functions: identification of the information to be protected as secret, establishment and maintenance of the right on it and, finally, creation of the sphere of confidentiality constituting the object of protection. The essay then goes into the meaning of the requirement and proposes the interpretation that it is satisfied where the trade secret holder adopts three types of measures: the rigorous selection of the persons authorized to access the secret, the adoption of measures to avoid that the secret is infringed by persons not authorized to know it, and finally the adoption of measures to avoid that the secret is infringed by persons who have been authorized to know it.
Keywords: trade secrets, know-how, undisclosed information, protection means, non-disclosure agreements
1. Introduzione. - 2. La ratio del requisito. - 3. La tipologia di misure di protezione. - 4. La selezione delle persone autorizzate. - 5. Le misure di protezione nei confronti delle persone non autorizzate. - 6. Le misure di protezione nei confronti delle persone autorizzate. - 7. Conclusioni. - NOTE
L’ordinamento tutela i segreti commerciali [1] anzitutto con la disciplina generale della concorrenza sleale: per interpretazione consolidata, la loro sottrazione ad opera di un concorrente integra infatti un atto contrario ai principi della correttezza professionale [2]. Ai fini della tutela mediante l’art. 2598, n. 3, c.c., la giurisprudenza definisce il segreto commerciale attraverso due requisiti: l’obiettiva riservatezza dell’informazione e la sua idoneità ad attribuire al detentore un vantaggio competitivo [3]. In ottemperanza all’obbligo imposto dall’art. 39 dell’Accordo TRIPs, l’ordinamento nazionale si è però dotato anche di una disciplina specifica dei segreti commerciali, collocata prima nell’art. 6-bis l. inv. e poi negli artt. 98 e 99 c.p.i. A seguito dell’armonizzazione della materia a livello europeo con la direttiva (UE) 2016/943 [4], l’ordinamento ha poi ulteriormente rafforzato gli strumenti di tutela dei segreti predisposti dal c.p.i. [5] Conformemente a quanto previsto dall’art. 39 TRIPs [6] e dall’art. 2 della direttiva 2016/943 [7], l’art. 98 c.p.i. definisce il segreto commerciale attraverso tre requisiti: i primi due sono la segretezza dell’informazione (lett. a) [8] e il suo valore economico in quanto segreta (lett. b) [9], requisiti in sostanza coincidenti con quelli che la giurisprudenza era già solita indicare per l’applicazione dell’art. 2598, n. 3, c.c.; il terzo è l’adozione, da parte del legittimo detentore [10], di misure ragionevolmente adeguate a mantenere l’informazione segreta (lett. c) [11]. Il presente lavoro intende soffermarsi su questo terzo requisito per indagarne la ratio, il significato e la concreta applicazione, mentre, per ragioni di economia, non tratterà le problematiche che con riferimento ai segreti commerciali si pongono all’interno della realtà societaria, quali la distribuzione dei poteri di gestione dei segreti, la competenza alla predisposizione delle misure di protezione, il contingentamento delle possibilità di accesso al contenuto dei segreti e in generale i flussi informativi ad essi relativi. Queste problematiche saranno oggetto di un successivo lavoro.
Ci si può chiedere se il requisito dell’adozione di misure idonee si spieghi in relazione all’interesse protetto dalla disciplina sul segreto commerciale: se cioè il legislatore abbia voluto chiarire che il bene tutelato da questa disciplina è l’investimento fatto dall’imprenditore nella protezione dei propri segreti. Questa ricostruzione non sembra però convincente. All’art. 98, lett. b), c.p.i., il legislatore indica infatti l’interesse allo sfruttamento esclusivo di un segreto portatore di un vantaggio competitivo come secondo presupposto di tutelabilità di un segreto commerciale. Sembra dunque più persuasivo leggere il requisito delle misure di protezione come un onere imposto dal legislatore all’imprenditore che voglia invocare tutela sui propri segreti commerciali. Ci si deve allora chiedere perché il legislatore abbia imposto un tale onere. Si possono enucleare tre ragioni tra loro strettamente collegate. La prima ragione deriva dal fatto che l’art. 1 c.p.i. annovera i segreti commerciali nella proprietà industriale: ciò significa che l’imprenditore può acquistare sulle proprie informazioni riservate un diritto di privativa e così impedire la loro circolazione (seppur nei limiti che emergeranno). L’onere delle misure di protezione ha pertanto, in primo luogo, la funzione di imporre all’imprenditore l’identificazione delle informazioni che vuole proteggere come propri segreti commerciali [12]. L’identificazione consente anzitutto di discernere le informazioni incluse nel diritto dalle informazioni per converso escluse e perciò liberamente appropriabili dai terzi [13]: e tende così ad un fine analogo a quello perseguito dalle rivendicazioni contenute nella domanda brevettuale (art. 52 c.p.i.) [14]. L’identificazione consente poi di verificare che le informazioni incluse nel preteso diritto soddisfino i requisiti indicati dall’art. 98, lett. a) e b), c.p.i. [15]: e tende così a un fine analogo a quello della definizione del regolamento (UE) 316/2014, secondo cui il «know-how» è costituito da «un patrimonio di conoscenze pratiche derivanti da esperienze e da prove che è: i) segreto (…); ii) sostanziale (…); e iii) individuato, vale a dire descritto in modo sufficientemente esauriente, tale [...]
Per individuare meglio il contenuto dell’onere di adozione delle misure di protezione, sembra utile partire dal concetto comune di segretezza [32]. Poiché un segreto è un’informazione conosciuta da pochissime persone, le misure di protezione vanno cercate tra quelle misure idonee ad impedire la diffusione dell’informazione; per ottenere questo risultato, bisogna operare a tre livelli. In primo luogo, un imprenditore mantiene segreta un’informazione se non la rivela a nessuno o, al più, la condivide con una cerchia estremamente ristretta di persone: è evidente che il carattere segreto dell’informazione è destinato a perdersi ove il suo detentore la condivida con un numero indiscriminato di soggetti. Il detentore di un’informazione segreta dovrà quindi condividere l’informazione segreta solo laddove necessario e in ogni caso con il numero di persone strettamente indispensabile [33]. In secondo luogo, un imprenditore mantiene segreta un’informazione se adotta misure intese ad impedirne materialmente l’accesso a quanti non la conoscono e non sono autorizzati a conoscerla: è evidente che il carattere segreto dell’informazione è destinato a perdersi ove il suo detentore permetta a chiunque di accedervi. Il detentore di un’informazione segreta dovrà quindi evitare che i terzi non autorizzati a conoscerla possano o riescano nondimeno ad accedervi. In terzo luogo, un imprenditore mantiene segreta un’informazione se adotta misure intese a evitarne una dispersione da parte di quanti sono stati autorizzati a conoscerla: è evidente che il carattere segreto dell’informazione è destinato a perdersi ove il suo detentore permetta a coloro con cui è stato necessario condividerla di utilizzarla e di rivelarla liberamente [34]. Il detentore di un’informazione segreta dovrà quindi evitare che i terzi autorizzati a conoscerla siano in condizione di appropriarsene. Si possono così individuare tre tipologie di misure di protezione: la prima tipologia consiste nella rigorosa selezione delle persone autorizzate ad accedere al segreto; la seconda tipologia consiste nelle misure da adottare nei confronti delle persone non autorizzate ad accedere al segreto; la terza tipologia consiste nelle misure da adottare nei confronti delle persone autorizzate ad accedere al [...]
Per quanto riguarda la selezione delle persone autorizzate, bisogna muovere da tre precisazioni preliminari. In primo luogo, questa misura di protezione non impone che il segreto debba essere serbato da una sola persona: nell’ambito dell’esercizio di un’impresa è inevitabile condividere informazioni riservate, solitamente con propri collaboratori o partner [36]. La prima misura di protezione da adottare consiste piuttosto nel circoscrivere al minimo le persone con cui il segreto viene condiviso [37]: solo un estremo rigore nella selezione delle persone autorizzate ad accedere al segreto consente infatti di realizzare il compromesso tra le due contrapposte esigenze di condividere il segreto, da un lato, e di non rendere però l’informazione generalmente nota e perciò non più segreta, dall’altro. L’imprenditore può dunque condividere le informazioni segrete, ma (per non far venire meno il segreto) le deve condividere con il minor numero di persone possibile. In secondo luogo, questa misura di protezione impone che la discriminazione tra persone autorizzate e persone non autorizzate ad accedere al segreto sia fatta in maniera trasversale, cioè nei confronti tanto delle persone esterne all’impresa, quanto di quelle ad essa interne. La rigorosa selezione delle persone autorizzate ad accedere al segreto deve essere operata anche tra il proprio personale, poiché la mera appartenenza all’organizzazione aziendale non giustifica di per sé sola l’accesso ai segreti commerciali dell’impresa [38]. Potranno così esserci persone esterne che hanno accesso al segreto, e persone interne che ne vengono escluse. L’imprenditore deve pertanto predisporre misure di sicurezza a più livelli: un primo livello di sicurezza atto a proteggere l’informazione segreta da eventuali infiltrazioni esterne all’impresa; un secondo livello, non meno importante ed anzi più delicato, atto a proteggere l’informazione segreta da eventuali infiltrazioni interne, in genere più facili. In terzo luogo, questa misura di protezione impone all’imprenditore di gestire la circolazione non solo dei segreti commerciali già esistenti, ma altresì dei segreti commerciali che potrebbero in futuro essere elaborati dai suoi dipendenti e collaboratori. L’imprenditore deve quindi [...]
Si è detto che l’imprenditore deve adottare misure di protezione atte ad impedire in radice la conoscenza dei segreti alle persone non autorizzate. Queste misure possono essere di carattere materiale, se oppongono un ostacolo che preclude materialmente l’accesso al segreto alle persone non autorizzate, o di carattere giuridico, se invece ostacolano l’accesso operando sul piano giuridico. Le misure di carattere materiale possono classificarsi in base alla loro natura. Possono avere anzitutto natura fisica-meccanica: si pensi ad esempio a cassetti o sportelli chiusi a chiave o apribili con combinazioni numeriche. Possono poi avere natura elettronico-informatica, secondo quanto la tecnologia consente: si pensi ad esempio all’uso di strumenti quali password, pin, tessere magnetiche (c.d. badge), crittografia, cifratura, antivirus, firewall, NAT, proxy o parametri biometrici. Possono infine avere natura umana e consistere cioè nell’assunzione di addetti alla vigilanza deputati a verificare l’identità di chi si propone di accedere ai segreti. Pare però opportuno fare alcune considerazioni circa le misure di protezione di natura informatica. In primo luogo, non sembra corretto ritenere che queste misure siano necessariamente più efficaci rispetto a quelle di altra tipologia: l’individuazione della misura di protezione più adatta dipenderà piuttosto dalla natura (digitale, cartacea od altro) del supporto in cui l’informazione è contenuta [40]. In secondo luogo, l’adozione di una password non è di per sé sufficiente ad integrare una misura di protezione idonea: è infatti necessario adottare una password che soddisfi un livello minimo di complessità, adeguato agli attuali requisiti della sicurezza informatica. In terzo luogo, vista la velocità con cui la tecnologia progredisce, la scelta della soluzione tecnica più adeguata alla protezione delle informazioni segrete deve essere orientata dalle indicazioni degli esperti: l’evoluzione dell’informatica potrebbe infatti imporre di abbandonare le password a favore di altre tecniche più robuste o in grado di coniugare la medesima robustezza con una maggior praticità (si pensi ad esempio all’uso dell’impronta digitale) [41]. Le misure di protezione di carattere materiale possono essere ordinate secondo un criterio di [...]
Le misure di protezione nei confronti delle persone autorizzate servono a far in modo che queste non utilizzino i segreti per fini diversi da quelli per cui sono stati loro rivelati, e quindi per evitare utilizzazioni o rivelazioni abusive. Queste misure di protezione rappresentano lo strumento tecnico attraverso cui è possibile condividere un segreto senza con ciò farne venire meno il carattere; sono perciò coessenziali, assieme alla rigorosa selezione delle persone autorizzate, per realizzare il contemperamento tra l’esigenza pratica di condividere il segreto e l’esigenza giuridica di rispettare il terzo requisito del segreto commerciale. Le misure di protezione da adottare nei confronti delle persone autorizzate ad accedere al segreto possono essere raggruppate in tre tipologie. La prima consiste nella selezione delle informazioni da condividere. La circostanza che una persona sia autorizzata ad accedere ai segreti di un’impresa non deve consentirle di accedere indiscriminatamente a qualunque informazione riservata. Un imprenditore deve osservare questo precetto in specie quando deve condividere diversi documenti riservati: tra le varie informazioni segrete ivi contenute, l’imprenditore dovrà rivelare solamente quelle che è indispensabile condividere ed oscurare tutte le altre, anche se contenute nel medesimo documento o nel medesimo gruppo di documenti. La seconda misura consiste nel mantenimento esclusivo della disponibilità materiale del supporto (tipicamente, un documento cartaceo o informatico) in cui il segreto è contenuto. Questa misura mira ad impedire che chi riceve il segreto possa conservarlo, copiarlo, riprodurlo, diffonderlo e in generale farne più facilmente un utilizzo o una rivelazione non autorizzati. Evitando la consegna del supporto materiale, il soggetto ricevente potrà eventualmente diffondere o utilizzare l’informazione solo conservando memoria della stessa; questo certo non elimina il rischio di utilizzazioni o rivelazioni abusive (rendendo così necessaria la stipulazione di un accordo di riservatezza, di cui si dirà subito appresso), ma le rende sicuramente meno agevoli [46]. Per evitare di consegnare la disponibilità materiale del segreto, l’imprenditore può adottare vari accorgimenti: ad esempio, non inviare il documento riservato come allegato di un messaggio di posta elettronica o non [...]
Per concludere l’analisi, sembra utile proporre qualche indicazione pratica per soddisfare il terzo requisito dei segreti commerciali. Alla luce di quanto sopra osservato, i seguenti accorgimenti possono ritenersi sufficienti ad integrare le «misure ragionevolmente adeguate» a mantenere il segreto richieste dall’art. 98, lett. c), c.p.i.: anzitutto, la rigorosa selezione delle persone che possono accedere al segreto attraverso il criterio della necessità; in secondo luogo, la protezione mediante password o chiavi crittografiche del singolo documento, dell’area del server o del profilo cloud in cui sono contenuti i segreti; in terzo luogo, la sottoscrizione di adeguati accordi di riservatezza con le persone cui i segreti vengono rivelati e la condivisione materiale dei segreti solo se necessario. Il detentore del segreto dovrà essere in grado di provare non solo, in generale, l’adozione delle misure di protezione, ma il fatto di averle adottate prima di aver subito la loro asserita violazione [61]. A tal fine, il detentore dovrà per lo meno essere in grado di documentare tale adozione, preferibilmente con data certa. Per quanto riguarda le misure di protezione nei confronti delle persone non autorizzate, il detentore può ottenere questo risultato, ad esempio, attraverso il backup o changelog dei sistemi di protezione adottati. Per quanto riguarda invece le misure di protezione nei confronti delle persone autorizzate, potrà ottenere detto risultato, ad esempio, attraverso l’invio per posta elettronica certificata dell’accordo di riservatezza sottoscritto. Per rendere più sistematica ed efficace l’applicazione delle misure di protezione, l’imprenditore può adottare un protocollo con cui impartisce ai propri dipendenti le direttive sugli accorgimenti da adottare per proteggere i segreti dell’impresa; e il sistema potrebbe essere reso ancora più efficiente disciplinando con un protocollo tutte e tre le fasi fondamentali per la concreta protezione dei segreti, di seguito esaminate. La prima fase consiste nell’individuazione dei segreti da proteggere. L’imprenditore può allora prevedere nel protocollo un processo di mappatura e ricognizione delle informazioni aziendali che gli consenta di effettuare le seguenti operazioni: enucleare le informazioni che sono segrete ed hanno valore economico in quanto segrete, [...]
Iscrivendoti alla newsletter di Giappichelli non riceverai spam, ma bensė gli aggiornamenti sulle nuove uscite di tuo interesse, sconti e iniziative promozionali.
Copyright G. Giappichelli Editore - 2020
ISSN 2282-667X - Rivista Orizzonti del Diritto Commerciale (Online)
Iscrizione al R.O.C. n. 25223
Per informazioni: ufficioabbonamenti@giappichelli.it
