Il saggio approfondisce il terzo requisito dei segreti commerciali secondo l’art. 98, lett. c), c.p.i., ossia l’adozione, da parte del titolare, di misure ragionevolmente adeguate a mantenere il segreto. Il saggio indaga anzitutto la ratio di questo requisito e propone l’in­terpretazione per cui esso svolge tre funzioni: identificazione dell’informazione che si vuole proteggere come segreto, instaurazione e mantenimento del diritto su di essa, e infine creazione della sfera di riservatezza costituente l’oggetto della tutela. Il saggio si concentra poi sul significato del requisito e propone l’interpretazione per cui esso è soddisfatto laddove il titolare del segreto adotti tre tipologie di misure: la rigorosa selezione delle persone autorizzate ad accedere al segreto, l’adozione di misure intese ad evitare che il segreto venga violato dalle persone non autorizzate a conoscerlo, e infine l’ado­zione di misure intese ad evitare che il segreto venga violato dalle persone che sono state autorizzate a conoscerlo.

Parole chiave: segreti commerciali, know-how, informazioni riservate, misure di protezione, accordi di riservatezza

Sommario/Summary:

1. Introduzione. - 2. La ratio del requisito. - 3. La tipologia di misure di protezione. - 4. La selezione delle persone autorizzate. - 5. Le misure di protezione nei confronti delle persone non autorizzate. - 6. Le misure di protezione nei confronti delle persone autorizzate. - 7. Conclusioni. - NOTE

1. Introduzione.

L’ordinamento tutela i segreti commerciali ^[1] anzitutto con la disciplina generale della concorrenza sleale: per interpretazione consolidata, la loro sottrazione ad opera di un concorrente integra infatti un atto contrario ai principi della correttezza professionale ^[2]. Ai fini della tutela mediante l’art. 2598, n. 3, c.c., la giurisprudenza definisce il segreto commerciale attraverso due requisiti: l’obiettiva riservatezza dell’informazione e la sua idoneità ad attribuire al detentore un vantaggio competitivo ^[3].

In ottemperanza all’obbligo imposto dall’art. 39 dell’Accordo TRIPs, l’or­dinamento nazionale si è però dotato anche di una disciplina specifica dei segreti commerciali, collocata prima nell’art. 6-bis l. inv. e poi negli artt. 98 e 99 c.p.i. A seguito dell’armonizzazione della materia a livello europeo con la direttiva (UE) 2016/943 ^[4], l’ordinamento ha poi ulteriormente rafforzato gli strumenti di tutela dei segreti predisposti dal c.p.i. ^[5] Conformemente a quanto previsto dall’art. 39 TRIPs ^[6] e dall’art. 2 della direttiva 2016/943 ^[7], l’art. 98 c.p.i. definisce il segreto commerciale attraverso tre requisiti: i primi due sono la segretezza dell’informazione (lett. a) ^[8] e il suo valore economico in quanto segreta (lett. b) ^[9], requisiti in sostanza coincidenti con quelli che la giurisprudenza era già solita indicare per l’applicazione dell’art. 2598, n. 3, c.c.; il terzo è l’adozione, da parte del legittimo detentore ^[10], di misure ragionevolmente adeguate a mantenere l’informazione segreta (lett. c) ^[11].

Il presente lavoro intende soffermarsi su questo terzo requisito per indagarne la ratio, il significato e la concreta applicazione, mentre, per ragioni di economia, non tratterà le problematiche che con riferimento ai segreti commerciali si pongono all’interno della realtà societaria, quali la distribuzione dei poteri di gestione dei segreti, la competenza alla predisposizione delle misure di protezione, il contingentamento delle possibilità di accesso al contenuto dei segreti e in generale i flussi informativi ad essi relativi. Queste problematiche saranno oggetto di un successivo lavoro.

2. La ratio del requisito.

Ci si può chiedere se il requisito dell’adozione di misure idonee si spieghi in relazione all’interesse protetto dalla disciplina sul segreto commerciale: se cioè il legislatore abbia voluto chiarire che il bene tutelato da questa disciplina è l’investimento fatto dall’imprenditore nella protezione dei propri segreti. Questa ricostruzione non sembra però convincente. All’art. 98, lett. b), c.p.i., il legislatore indica infatti l’interesse allo sfruttamento esclusivo di un segreto portatore di un vantaggio competitivo come secondo presupposto di tutelabilità di un segreto commerciale. Sembra dunque più persuasivo leggere il requisito delle misure di protezione come un onere imposto dal legislatore all’im­prenditore che voglia invocare tutela sui propri segreti commerciali. Ci si deve allora chiedere perché il legislatore abbia imposto un tale onere.

Si possono enucleare tre ragioni tra loro strettamente collegate.

La prima ragione deriva dal fatto che l’art. 1 c.p.i. annovera i segreti commerciali nella proprietà industriale: ciò significa che l’imprenditore può acquistare sulle proprie informazioni riservate un diritto di privativa e così impedire la loro circolazione (seppur nei limiti che emergeranno). L’onere delle misure di protezione ha pertanto, in primo luogo, la funzione di imporre all’impren­ditore l’identificazione delle informazioni che vuole proteggere come propri segreti commerciali ^[12]. L’identificazione consente anzitutto di discernere le informazioni incluse nel diritto dalle informazioni per converso escluse e perciò liberamente appropriabili dai terzi ^[13]: e tende così ad un fine analogo a quello perseguito dalle rivendicazioni contenute nella domanda brevettuale (art. 52 c.p.i.) ^[14]. L’identificazione consente poi di verificare che le informazioni incluse nel preteso diritto soddisfino i requisiti indicati dall’art. 98, lett. a) e b), c.p.i. ^[15]: e tende così a un fine analogo a quello della definizione del regolamento (UE) 316/2014, secondo cui il «know-how» è costituito da «un patrimonio di conoscenze pratiche derivanti da esperienze e da prove che è: i) segreto (…); ii) sostanziale (…); e iii) individuato, vale a dire descritto in modo sufficientemente esauriente, tale da consentire di verificare se risponde ai criteri di segretezza e sostanzialità». Va però chiarito che l’onere di identificazione non sembra implicare anche un onere di incorporazione del segreto in documenti: depongono infatti in senso contrario tanto l’art. 4, par. 2, lett. a), della direttiva 2016/943, per il quale sono tutelabili non solo documenti e file elettronici, ma anche «oggetti, materiali, sostanze» che contengono il segreto commerciale «o dai quali il segreto commerciale può essere desunto»; e così pure l’art. 98 c.p.i., che individua come possibile oggetto di un segreto commerciale non solo le «informazioni» ma anche le «esperienze tecnico-indu­striali». Attraverso questa endiadi (le esperienze veicolano pur sempre informazioni) il legislatore sembra in particolare voler chiarire la tutelabilità di informazioni radicate anche solo nella prassi ^[16].

La seconda ragione deriva dal fatto che quello sui segreti è un diritto non subordinato al rilascio di un titolo amministrativo formale (c.d. diritto non titolato) ^[17]. L’onere delle misure di protezione ha pertanto la funzione di imporre all’imprenditore una condotta positiva che determini il sorgere del diritto, in maniera corrispondente all’onere di brevettazione gravante su chi intende beneficiare del diritto titolato sulle invenzioni. Se l’imprenditore detiene informazioni segrete (art. 98, lett. a) e dotate a tale tiolo di valore economico (art. 98, lett. b), deve allora adottare misure di protezione, da un lato affinché dette informazioni siano tutelate come segreto commerciale, dall’altro per conservare nel tempo tale diritto ^[18]. La costanza nell’adempiere quest’onere consentirà al suo titolare, in assenza di fatti distruttivi della segretezza e del valore economico dell’informazione, di mantenere il diritto indefinitamente, cioè senza limiti di tempo prestabiliti dalla legge ^[19].

La terza ragione deriva dal fatto che la disciplina sui segreti commerciali non tutela l’informazione in assoluto, ma la tutela solo contro acquisizioni, rivelazioni od utilizzazioni abusive ^[20]. Secondo l’art. 99 c.p.i., da interpretare conformemente agli artt. 3 e 4 della direttiva 2016/943, l’acquisizione è abusiva quando avviene (non per scoperta indipendente ma) in via derivata dal detentore dell’informazione ^[21], senza il suo consenso ^[22], e senza procedere ad operazioni di reverse engineering ^[23]: quindi, quando vengono violate le misure di protezione. La rivelazione o l’utilizzazione sono invece abusive o quando a monte l’acquisizione è stata abusiva, oppure quando avvengono in violazione di obblighi di riservatezza ^[24]: quindi, ancora una volta, quando vengono violate le misure di protezione. Dunque, come si vedrà meglio anche nel prossimo paragrafo, il segreto è tutelato esclusivamente contro la violazione delle misure di protezione ^[25]. L’onere delle misure di protezione ha pertanto la funzione di imporre all’imprenditore la creazione di quella sfera di riservatezza che costituisce l’oggetto della tutela ^[26].

Può allora concludersi che la ratio dell’art. 98, lett. c), c.p.i. sia circoscrivere la tutela alle sole informazioni ed esperienze che l’imprenditore abbia preventivamente identificato ed attivamente dimostrato di voler proteggere come propri segreti commerciali. In quest’ottica, deve ritenersi che la norma imponga all’imprenditore non solo l’onere di adottare le misure di protezione, ma altresì l’onere di reagire a loro eventuali violazioni ^[27]: inerzia e tolleranza denotano infatti un disinteresse alla protezione del segreto e lo rendono perciò non meritevole di tutela ^[28].

La ricostruzione proposta conduce a talune considerazioni sul piano sistematico. La previsione di questo requisito in una disciplina specifica e temporalmente successiva a quella generale sulla concorrenza sleale pare suggerire che il legislatore abbia ritenuto lo stesso imprescindibile per la tutela di un segreto commerciale. Non dovrebbe allora consentirsi all’imprenditore di rifugiarsi nella disciplina della concorrenza sleale per chiedere la tutela di segreti che sono privi del requisito in discorso. Da questa conclusione derivano due conseguenze. In primo luogo, la clausola che in apertura dell’art. 99 c.p.i. fa salva l’applicazione delle norme sulla concorrenza sleale non dovrebbe intendersi come apertura ad una fattispecie di segreti privi del terzo requisito, ma come rinvio a una disciplina operante in via residuale e concorrente, per quanto di utilità ^[29]. In secondo luogo, il rispetto di questo requisito dovrebbe rivelarsi dirimente nelle controversie tra imprenditori ed ex dipendenti: se l’im­prenditore ha adottato misure di protezione, allora le informazioni così protette saranno segreti commerciali di sua esclusiva titolarità; in caso contrario, le informazioni saranno liberamente appropriabili ed utilizzabili dall’ex dipendente malgrado presentino oggettivi caratteri di segretezza e valore economico ^[30]. Un’applicazione residuale dell’art. 2598, n. 3, c.c. dovrebbe ammettersi solo quando un ex dipendente o un concorrente abbia sottratto all’impren­ditore non già singole informazioni riservate, ma un complesso di informazioni aziendali costituenti una vera e propria banca dati ^[31]; nel qual caso, però, ci si potrebbe anche interrogare se il diritto violato sia quello sulle informazioni riservate (carenti del requisito dell’art. 98, lett. c), c.p.i.), oppure quello sulla banca dati (peraltro tutelato anche dalla legge sul diritto d’autore).

3. La tipologia di misure di protezione.

Per individuare meglio il contenuto dell’onere di adozione delle misure di protezione, sembra utile partire dal concetto comune di segretezza ^[32]. Poiché un segreto è un’informazione conosciuta da pochissime persone, le misure di protezione vanno cercate tra quelle misure idonee ad impedire la diffusione dell’informazione; per ottenere questo risultato, bisogna operare a tre livelli.

In primo luogo, un imprenditore mantiene segreta un’informazione se non la rivela a nessuno o, al più, la condivide con una cerchia estremamente ristretta di persone: è evidente che il carattere segreto dell’informazione è destinato a perdersi ove il suo detentore la condivida con un numero indiscriminato di soggetti. Il detentore di un’informazione segreta dovrà quindi condividere l’informazione segreta solo laddove necessario e in ogni caso con il numero di persone strettamente indispensabile ^[33].

In secondo luogo, un imprenditore mantiene segreta un’informazione se adotta misure intese ad impedirne materialmente l’accesso a quanti non la conoscono e non sono autorizzati a conoscerla: è evidente che il carattere segreto dell’informazione è destinato a perdersi ove il suo detentore permetta a chiunque di accedervi. Il detentore di un’informazione segreta dovrà quindi evitare che i terzi non autorizzati a conoscerla possano o riescano nondimeno ad accedervi.

In terzo luogo, un imprenditore mantiene segreta un’informazione se adotta misure intese a evitarne una dispersione da parte di quanti sono stati autorizzati a conoscerla: è evidente che il carattere segreto dell’informazione è destinato a perdersi ove il suo detentore permetta a coloro con cui è stato necessario condividerla di utilizzarla e di rivelarla liberamente ^[34]. Il detentore di un’infor­mazione segreta dovrà quindi evitare che i terzi autorizzati a conoscerla siano in condizione di appropriarsene.

Si possono così individuare tre tipologie di misure di protezione: la prima tipologia consiste nella rigorosa selezione delle persone autorizzate ad accedere al segreto; la seconda tipologia consiste nelle misure da adottare nei confronti delle persone non autorizzate ad accedere al segreto; la terza tipologia consiste nelle misure da adottare nei confronti delle persone autorizzate ad accedere al segreto ^[35].

La segretezza viene mantenuta grazie all’interazione delle diverse misure sopra individuate, sicché l’imprenditore che voglia tutelare i propri segreti commerciali dovrà adottarle tutte e tre. Un primo punto da evidenziare riguarda dunque il cumulo necessario delle tre tipologie di misure di protezione: la mancata adozione di una di esse apre un facile spiraglio alla diffusione dell’in­formazione, espone l’informazione al rischio di distruzione del suo carattere segreto e deve perciò considerarsi ostativa al riconoscimento del terzo requisito del segreto commerciale.

Occorre inoltre evidenziare come alle diverse tipologie di misure di protezione corrispondano le diverse fattispecie di violazione dei segreti commerciali individuate dall’art. 99 c.p.i.: la violazione delle misure di protezione da parte di persone non autorizzate integra infatti la prima fattispecie di violazione del segreto, ossia l’acquisizione illecita del segreto (che rende a valle illecita ogni rivelazione o utilizzo); la violazione delle misure di protezione da parte di persone autorizzate integra invece la seconda o la terza fattispecie di violazione del segreto, ossia l’illecita rivelazione o l’illecito utilizzo del segreto (di cui però sia stata a monte lecita l’acquisizione).

4. La selezione delle persone autorizzate.

Per quanto riguarda la selezione delle persone autorizzate, bisogna muovere da tre precisazioni preliminari.

In primo luogo, questa misura di protezione non impone che il segreto debba essere serbato da una sola persona: nell’ambito dell’esercizio di un’impresa è inevitabile condividere informazioni riservate, solitamente con propri collaboratori o partner ^[36]. La prima misura di protezione da adottare consiste piuttosto nel circoscrivere al minimo le persone con cui il segreto viene condiviso ^[37]: solo un estremo rigore nella selezione delle persone autorizzate ad accedere al segreto consente infatti di realizzare il compromesso tra le due contrapposte esigenze di condividere il segreto, da un lato, e di non rendere però l’infor­mazione generalmente nota e perciò non più segreta, dall’altro. L’impren­ditore può dunque condividere le informazioni segrete, ma (per non far venire meno il segreto) le deve condividere con il minor numero di persone possibile.

In secondo luogo, questa misura di protezione impone che la discriminazione tra persone autorizzate e persone non autorizzate ad accedere al segreto sia fatta in maniera trasversale, cioè nei confronti tanto delle persone esterne all’impresa, quanto di quelle ad essa interne. La rigorosa selezione delle persone autorizzate ad accedere al segreto deve essere operata anche tra il proprio personale, poiché la mera appartenenza all’organizzazione aziendale non giustifica di per sé sola l’accesso ai segreti commerciali dell’impresa ^[38]. Potranno così esserci persone esterne che hanno accesso al segreto, e persone interne che ne vengono escluse. L’imprenditore deve pertanto predisporre misure di sicurezza a più livelli: un primo livello di sicurezza atto a proteggere l’in­formazione segreta da eventuali infiltrazioni esterne all’impresa; un secondo livello, non meno importante ed anzi più delicato, atto a proteggere l’infor­mazione segreta da eventuali infiltrazioni interne, in genere più facili.

In terzo luogo, questa misura di protezione impone all’imprenditore di gestire la circolazione non solo dei segreti commerciali già esistenti, ma altresì dei segreti commerciali che potrebbero in futuro essere elaborati dai suoi dipendenti e collaboratori. L’imprenditore deve quindi considerare anche tali segreti per regolarne in anticipo la circolazione e, in particolare, per selezionare e individuare le sole persone cui potranno essere riferiti.

Fatte queste premesse, bisogna ora individuare il criterio di selezione delle persone autorizzate a conoscere il segreto, che consenta di considerare adottata la prima tipologia di misure di protezione. Se si parte dal presupposto che ogni condivisione di informazione aumenta il rischio di perdita di controllo, il criterio di selezione è giocoforza quello della necessità della condivisione. Per valutare se la condivisione sia necessaria bisogna procedere ad un giudizio controfattuale: quando la mancata condivisione comporta per l’impresa un pregiudizio economico (anche in termini di lucro cessante, ossia di perdita di capacità di lavoro, perdita di guadagni o di opportunità di guadagni), allora la sua condivisione può ritenersi necessaria e perciò la circolazione dell’infor­mazione non farà venire meno il terzo requisito del segreto commerciale. Si pensi alla necessità dell’imprenditore di condividere i segreti commerciali con alcuni suoi dipendenti affinché questi possano svolgere le loro mansioni, o con altri imprenditori per poter sviluppare un progetto in collaborazione. La condivisione non necessaria implica invece mancata adozione di adeguate misure di protezione ^[39]. Quest’ultima ipotesi può ricorrere ad esempio quando l’im­prenditore consenta l’accesso a segreti di carattere tecnico indiscriminatamente a tutti i suoi dipendenti, compresi quelli che, occupandosi di aspetti meramente amministrativi, non ne hanno alcun bisogno per poter svolgere le proprie mansioni.

L’imprenditore può adottare varie tecniche per attuare questa misura di protezione. Da un lato, può individuare di volta in volta, a seconda delle sue contingenti esigenze pratiche, le persone con cui condividere il singolo segreto o una certa categoria di segreti. In alternativa, l’imprenditore può gestire la circolazione dei segreti in maniera più organizzata, attraverso la previsione di un flusso informativo: ossia un elenco delle sole persone autorizzate a conoscere un certo segreto o una certa categoria di segreti. Ad esempio, può prevedere che tutte le informazioni segrete relative a taluni aspetti tecnici circolino e siano riferite solamente a talune figure aziendali (come il direttore del settore ricerca e sviluppo, il direttore generale e l’amministratore delegato). Il flusso informativo può in particolare essere uno strumento utile per individuare preventivamente le persone cui potrà essere comunicata un’informazione che dovesse essere acquisita in futuro da un collaboratore, prestabilendo i passaggi della sua comunicazione: si potrebbe ad esempio prevedere che, qualora il dipendente Tizio, nello svolgimento delle proprie mansioni, dovesse elaborare informazioni con i requisiti di un segreto commerciale, allora potrà riferirle esclusivamente al suo superiore Caio, il quale le potrà a sua volta riferire solo all’amministratore delegato Sempronio.

Una volta selezionate le poche persone che possono avere accesso al segreto, se del caso mediante la tecnica della predisposizione di un flusso informativo, bisogna poi adottare misure intese ad assicurare che effettivamente il segreto rimanga “confinato” tra queste persone e che venga utilizzato per le finalità per le quali è stato con esse condiviso. Occorre perciò adottare le misure finalizzate a fare in modo, da un lato, che le persone escluse dal flusso informativo non possano accedere al segreto e, dall’altro, che le persone invece incluse non ne approfittino per fini estranei a quello in ragione del quale il segreto è stato con loro condiviso, ovvero per rivelarlo a terzi. In altri termini, come più sopra accennato, occorre adottare misure di protezione sia nei confronti delle persone non autorizzate, sia nei confronti delle persone autorizzate: delle une e delle altre si tratterà rispettivamente nei due paragrafi seguenti.

5. Le misure di protezione nei confronti delle persone non autorizzate.

Si è detto che l’imprenditore deve adottare misure di protezione atte ad impedire in radice la conoscenza dei segreti alle persone non autorizzate. Queste misure possono essere di carattere materiale, se oppongono un ostacolo che preclude materialmente l’accesso al segreto alle persone non autorizzate, o di carattere giuridico, se invece ostacolano l’accesso operando sul piano giuridico.

Le misure di carattere materiale possono classificarsi in base alla loro natura. Possono avere anzitutto natura fisica-meccanica: si pensi ad esempio a cassetti o sportelli chiusi a chiave o apribili con combinazioni numeriche. Possono poi avere natura elettronico-informatica, secondo quanto la tecnologia consente: si pensi ad esempio all’uso di strumenti quali password, pin, tessere magnetiche (c.d. badge), crittografia, cifratura, antivirus, firewall, NAT, proxy o parametri biometrici. Possono infine avere natura umana e consistere cioè nell’assunzione di addetti alla vigilanza deputati a verificare l’identità di chi si propone di accedere ai segreti. Pare però opportuno fare alcune considerazioni circa le misure di protezione di natura informatica. In primo luogo, non sembra corretto ritenere che queste misure siano necessariamente più efficaci rispetto a quelle di altra tipologia: l’individuazione della misura di protezione più adatta dipenderà piuttosto dalla natura (digitale, cartacea od altro) del supporto in cui l’informazione è contenuta ^[40]. In secondo luogo, l’adozione di una password non è di per sé sufficiente ad integrare una misura di protezione idonea: è infatti necessario adottare una password che soddisfi un livello minimo di complessità, adeguato agli attuali requisiti della sicurezza informatica. In terzo luogo, vista la velocità con cui la tecnologia progredisce, la scelta della soluzione tecnica più adeguata alla protezione delle informazioni segrete deve essere orientata dalle indicazioni degli esperti: l’evoluzione dell’informatica potrebbe infatti imporre di abbandonare le password a favore di altre tecniche più robuste o in grado di coniugare la medesima robustezza con una maggior praticità (si pensi ad esempio all’uso dell’impronta digitale) ^[41].

Le misure di protezione di carattere materiale possono essere ordinate secondo un criterio di crescente sicurezza. Al primo livello di sicurezza stanno le misure in cui il titolare del segreto consegna soltanto alle persone autorizzate lo strumento per accedere al segreto (chiave, combinazione, password, pin, tessera elettronica, chiave per decriptare, ecc.). Questo livello di sicurezza è tuttavia il più basso perché non esclude che, malgrado gli obblighi di riservatezza di cui si tratterà nel prossimo paragrafo, la persona autorizzata consegni ad un terzo, non autorizzato, lo strumento per accedere al segreto (quindi, ad esempio, presti la chiave o la tessera elettronica, oppure riveli la combinazione, la password o il pin). Al secondo livello di sicurezza stanno invece quelle misure in cui il titolare del segreto elegge come strumento per accedervi un parametro biometrico, come tale proprio esclusivamente della persona autorizzata e perciò insuscettibile di essere ceduto o rivelato a terzi: ad esempio, l’impronta digitale o la scansione della retina. Anche questo livello di sicurezza, tuttavia, non elimina del tutto il rischio di accesso di persone non autorizzate, poiché non esclude che la persona autorizzata si presti ad usare i propri parametri biometrici per far accedere un terzo non autorizzato. Al terzo livello di sicurezza stanno infine le misure nell’ambito delle quali, eventualmente in aggiunta ad uno strumento per accedere al segreto, il titolare del segreto prepone una o più persone alla vigilanza, in modo da verificare che ad accedere al segreto siano solamente persone autorizzate. Tuttavia, anche questo livello di sicurezza non è del tutto scevro da rischi, ben potendo immaginarsi un’opera di corruzione del vigilante.

Dopo questa preliminare rassegna delle tipologie di misure di protezione di carattere materiale e la loro classificazione secondo un criterio di crescente efficacia, bisogna allora domandarsi quale misura, tra quelle astrattamente disponibili, l’imprenditore debba adottare nel caso concreto per poter fondatamente sostenere di aver adottato «misure da ritenersi ragionevolmente adeguate» a mantenere il segreto secondo l’art. 98, lett. c), c.p.i.

In linea generale, va precisato che il legislatore non impone al detentore di adottare misure di protezione assolutamente insuscettibili di essere violate; da un lato perché probabilmente non esistono, dall’altro perché altrimenti si entrerebbe nel seguente cortocircuito logico: un imprenditore può ottenere tutela se ha adottato misure di protezione adeguate, ma se ha subito una violazione significa che non ha adottato misure di protezione adeguate e quindi, di fatto, non può mai azionare l’art. 99 c.p.i. Il riferimento del legislatore a misure «ragionevolmente adeguate» deve perciò considerarsi inteso ad imporre un “onere di diligenza”, piuttosto che un “onere di risultato”; il che consente di ritenere soddisfatto il requisito delle misure di protezione pur nell’eventualità di una loro violazione. Bisogna però stabilire quale livello di diligenza, secondo l’art. 1176 c.c., imponga la disposizione in commento.

In prima battuta si potrebbe pensare che il legislatore abbia imposto in generale un livello di diligenza massimo: per qualunque segreto commerciale, l’imprenditore dovrebbe adottare le misure di protezione più efficaci per evitare che persone non autorizzate vi possano accedere. Una tesi così rigorosa avrebbe però il difetto di rendere antieconomica la protezione dei segreti commerciali più modesti ed andrebbe così ad esigere dal loro titolare uno sforzo non più «ragionevole» quando i costi della protezione fossero maggiori del valore del segreto protetto ^[42].

Potrebbe allora ipotizzarsi che il legislatore, con il riferimento a misure «ragionevolmente adeguate», abbia inteso imporre livelli di diligenza differenziati: il livello di diligenza da adottare nella protezione di ciascun segreto dovrebbe essere parametrato al suo valore economico e quindi crescere proporzionalmente a questo fattore. Proseguendo in questa interpretazione, potrebbe ritenersi che un segreto commerciale di particolare valore economico dovrebbe essere tutelato con una diligenza ancora maggiore quando la sua esistenza sia nota ed attragga perciò maggior interesse a una sua sottrazione. Dunque, non soddisfarebbe il terzo requisito un segreto commerciale che sia sottoposto a misure di protezione inidonee a proteggerlo dagli attacchi che il detentore può ragionevolmente attendersi in considerazione della sua importanza economica e della sua notorietà ^[43].

Questa tesi provoca tuttavia delle disparità di trattamento difficilmente giustificabili. Si pensi al caso in cui due imprenditori possiedano ciascuno un segreto commerciale; si immagini che il segreto del primo imprenditore consista in dati di mercato con valore economico tutto sommato modesto, mentre il segreto del secondo imprenditore riguardi il progetto di una sofisticata tecnologia per uso militare ed abbia un valore economico molto importante; si immagini infine che entrambi gli imprenditori tutelino il proprio segreto mediante incorporazione dell’informazione in un documento informatico protetto da una password sufficientemente complessa; aderendo all’interpretazione qui ipotizzata, in caso di sottrazione del segreto tramite hackeraggio dovrebbe riconoscersi tutela al primo imprenditore, e negarla invece al secondo imprenditore sulla scorta dell’argomento per cui un segreto del genere avrebbe dovuto essere tutelato con misure più robuste. Non si vede però quale dovrebbe essere il motivo per sanzionare chi ha sottratto il segreto di valore più modesto e legittimare invece l’operato di chi ha sottratto il segreto di valore economico più importante: per continuare nell’esempio, di fronte all’adozione di una password per proteggere il documento sarebbe comunque evidente l’intenzione del titolare di trattare e tutelare le informazioni ivi contenute come proprio segreto; sicché sicuramente l’hacker violatore di tale password non potrebbe eccepire la propria buona fede (intesa come ignoranza del carattere segreto dell’informazione appropriata) e il diniego di tutela al titolare suonerebbe in definitiva come misura latamente sanzionatoria dell’insufficienza delle misure apprestate ^[44].

Inoltre, si è sopra sostenuto che la ratio dell’art. 98, lett. c), c.p.i. è imporre all’imprenditore di dimostrare di voler proteggere una determinata informazione come proprio segreto commerciale; e questa ratio pare soddisfatta non tanto da misure di protezione particolarmente efficaci, quanto da misure che, essendo oggettivamente in grado di impedire un normale accesso all’informa­zione, denotano inequivocabilmente l’intenzione dell’imprenditore di mantenere quell’informazione riservata.

Le superiori considerazioni dovrebbero perciò suggerire di considerare sufficiente l’adozione di un livello di diligenza minimo: per soddisfare il terzo requisito dei segreti commerciali, l’imprenditore dovrebbe perciò potersi limitare ad adottare misure idonee ad impedire l’accesso alle persone comuni, dunque misure né evanescenti né superabili con l’impegno profondibile da una persona anche fortemente determinata ma priva di particolari abilità ^[45]. Questa conclusione pare del resto coerente con il dichiarato obiettivo della direttiva 2016/943 di favorire la tutela del know-how delle piccole e medie imprese, alle quali sarebbe contraddittorio imporre significativi investimenti in misure di protezione. Per riprendere l’esempio proposto appena sopra, di fronte ad una violazione dei due segreti commerciali l’ordinamento dovrebbe allora apprestare tutela ad entrambi gli imprenditori, senza discriminare il secondo in ragione della maggior appetibilità e rilevanza del suo segreto e della conseguente maggior prevedibilità di un tentativo di sottrazione. L’opportunità di adottare misure ancora più efficaci (tese ad inibire, per esempio, l’accesso anche ad un hacker professionista) non dovrebbe dunque pregiudicare la tutelabilità del segreto sul piano giuridico, ma rilevare solamente sul piano prettamente pratico nonché, al più, sul piano della possibile responsabilità degli amministratori di società per i danni a questa provocati da violazioni evitabili.

Terminata la disamina delle misure di protezione di carattere materiale, è opportuno, per concludere, rammentare come le misure di protezione da adottare nei confronti delle persone non autorizzate possano essere anche di carattere giuridico e consistere perciò in vincoli obbligatori di fonte contrattuale mediante i quali il titolare dei segreti ne vieta espressamente l’accesso a talune persone. L’imprenditore può però ricorrere a questo tipo di misure solo in via residuale: per inibire cioè quelle persone non autorizzate a conoscere il segreto, ma nei cui confronti non sia concretamente possibile adottare misure di protezione di carattere materiale. Si pensi, ad esempio, al personale della vigilanza privata preposto alla sorveglianza del luogo in cui sono conservati documenti riservati, al quale venga assolutamente vietato di consultare tali documenti (anziché limitarsi ad imporre loro un obbligo di riservatezza, di cui si tratterà nel prossimo paragrafo). Questo tipo di misure di protezione potrebbe peraltro operare anche in via cumulativa alle misure di carattere materiale, per rafforzarle e soprattutto per disciplinare talune conseguenze giuridiche della loro violazione: si pensi ad un’impresa che non solo adotti credenziali e password speciali per consentire l’accesso al segreto solamente ad alcuni dei propri dipendenti, ma faccia anche sottoscrivere a tutti gli altri dipendenti (non autorizzati) un contratto con cui questi s’impegnano a non violare dette misure di protezione pena l’applicazione di una (gravosa) penale.

6. Le misure di protezione nei confronti delle persone autorizzate.

Le misure di protezione nei confronti delle persone autorizzate servono a far in modo che queste non utilizzino i segreti per fini diversi da quelli per cui sono stati loro rivelati, e quindi per evitare utilizzazioni o rivelazioni abusive. Queste misure di protezione rappresentano lo strumento tecnico attraverso cui è possibile condividere un segreto senza con ciò farne venire meno il carattere; sono perciò coessenziali, assieme alla rigorosa selezione delle persone autorizzate, per realizzare il contemperamento tra l’esigenza pratica di condividere il segreto e l’esigenza giuridica di rispettare il terzo requisito del segreto commerciale. Le misure di protezione da adottare nei confronti delle persone autorizzate ad accedere al segreto possono essere raggruppate in tre tipologie.

La prima consiste nella selezione delle informazioni da condividere. La circostanza che una persona sia autorizzata ad accedere ai segreti di un’impre­sa non deve consentirle di accedere indiscriminatamente a qualunque informazione riservata. Un imprenditore deve osservare questo precetto in specie quando deve condividere diversi documenti riservati: tra le varie informazioni segrete ivi contenute, l’imprenditore dovrà rivelare solamente quelle che è indispensabile condividere ed oscurare tutte le altre, anche se contenute nel medesimo documento o nel medesimo gruppo di documenti.

La seconda misura consiste nel mantenimento esclusivo della disponibilità materiale del supporto (tipicamente, un documento cartaceo o informatico) in cui il segreto è contenuto. Questa misura mira ad impedire che chi riceve il segreto possa conservarlo, copiarlo, riprodurlo, diffonderlo e in generale farne più facilmente un utilizzo o una rivelazione non autorizzati. Evitando la consegna del supporto materiale, il soggetto ricevente potrà eventualmente diffondere o utilizzare l’informazione solo conservando memoria della stessa; questo certo non elimina il rischio di utilizzazioni o rivelazioni abusive (rendendo così necessaria la stipulazione di un accordo di riservatezza, di cui si dirà subito appresso), ma le rende sicuramente meno agevoli ^[46]. Per evitare di consegnare la disponibilità materiale del segreto, l’imprenditore può adottare vari accorgimenti: ad esempio, non inviare il documento riservato come allegato di un messaggio di posta elettronica o non consegnare una chiavetta USB con dentro documenti informatici; adottare tecnologie che impediscano di scaricare il documento informatico sul proprio computer, di copiarlo, di stamparlo, di trasmetterlo, di inoltrarlo o di salvarlo, rendendolo perciò solamente visionabile sul terminale; se il supporto è cartaceo (ad esempio fogli o un manuale tecnico), adottare accorgimenti per impedire che questi documenti vengano sottratti, copiati, fotocopiati o fotografati, avvalendosi ad esempio di vigilanza privata che controlli quanti vengono autorizzati a consultare detti documenti. Per soddisfare l’onere delle misure di protezione, l’imprenditore dovrà consegnare il supporto materiale in cui è contenuto il segreto solamente quando ciò sia necessario allo svolgimento dell’impresa, secondo lo stesso criterio da osservare per la selezione delle persone autorizzate a conoscere il segreto.

La terza misura consiste nella stipulazione di un accordo di riservatezza (nella prassi chiamato anche non-disclosure agreement – NDA, secondo la dizione inglese), ossia un contratto in forza del quale la parte alla quale vengono rivelati segreti commerciali s’impegna a mantenerli riservati e a non farne utilizzi indebiti ^[47].

Preliminarmente bisogna chiedersi se l’imprenditore debba ricorrere a questa misura solo nei rapporti con i terzi, oppure anche nei rapporti con i propri dipendenti: se cioè la stipulazione di un accordo di riservatezza con i dipendenti sia necessaria oppure risulti superflua alla luce del vincolo di riservatezza cui questi sono in generale tenuti secondo l’art. 2105 c.c. Si potrebbe pensare che l’obbligo legale sia di per sé sufficiente; altrimenti, potrebbe obiettarsi, la previsione codicistica sarebbe priva di utilità. In realtà, la norma giuslavoristica opera ad un livello più generale ed impone al dipendente un riserbo anche su informazioni che non possiedono i requisiti di un vero e proprio segreto commerciale ^[48]. Le norme di diritto industriale impongono invece una specifica protezione delle informazioni aziendali che siano segrete ed abbiano valore economico in quanto segrete: l’accordo di riservatezza serve pertanto a richiamare l’attenzione del dipendente sulla delicatezza del tema e soprattutto a disciplinare puntualmente i suoi obblighi di segretezza e le sanzioni per la loro inosservanza, anche per il tempo successivo alla cessazione del rapporto di lavoro ^[49].

Gli accordi di riservatezza devono osservare una determinata struttura e contenuto, di cui ora si tratterà più in dettaglio.

Anzitutto, l’accordo di riservatezza deve individuare i segreti che ne sono oggetto ^[50]. In una prima ipotesi, la parte divulgante è già in grado di identificare le informazioni che verranno condivise e che devono perciò essere protette dall’accordo: in questo caso, il contratto può allora aprirsi con una clausola dove vengono elencati, identificati e perimetrati i segreti che ne sono oggetto. Oltreché in maniera puntuale, una clausola simile può identificare i segreti anche per relazione: specificando per esempio che sono segreti commerciali tutte le informazioni contenute in un determinato archivio (fisico o telematico), disco o computer; oppure le informazioni che circoleranno per una data casella di posta elettronica; oppure, ancora, le informazioni riguardanti determinati processi industriali, affari, settori aziendali o attività di ricerca. Spesso però non è possibile o conveniente individuare preventivamente tutte le informazioni sulle quali s’impone l’obbligo di riservatezza, ad esempio perché l’ac­cordo viene stipulato all’avvio di una collaborazione e quindi le informazioni segrete ancora non sono state elaborate e comunicate alla controparte. In questi casi, il contratto dovrà aprirsi con una clausola contenente il criterio per la successiva individuazione delle informazioni da assoggettare a tale obbligo. Per soddisfare l’onere di identificazione dei segreti desumibile dalla ratio dell’art. 98, lett. c), c.p.i., questo criterio deve necessariamente fare riferimento al dato formale: il contratto dovrà cioè precisare che sono segrete, e sono perciò oggetto degli obblighi di riservatezza, tutte le informazioni espressamente qualificate come tali dal detentore mediante l’espresso avvertimento della natura riservata del documento o dell’in­formazione rivelata. Pertanto, la postilla “segreto”, “riservato”, “confidenziale” o equivalenti apposta sul documento, il banner che avverte l’utente del carattere riservato dell’area telematica nella quale sta entrando, o il verbale di consegna dei documenti o delle credenziali di accesso, andranno ad attivare in capo alla persona autorizzata gli obblighi di segretezza precedentemente assunti con l’accordo di riservatezza ^[51]. Poiché la ratio dell’art. 98, lett. c), c.p.i. è imporre all’imprenditore una protezione attiva di segreti identificati, deve invece ritenersi indeterminato, e perciò una mera clausola di stile, il riferimento che spesso, nella prassi, gli accordi di riservatezza fanno in via residuale a tutte le informazioni che, seppur non formalmente qualificate come riservate dal loro detentore, appaiano oggettivamente tali.

L’accordo di riservatezza può riguardare tanto i segreti che l’imprenditore rivela al terzo, quanto i segreti che sarà il terzo ad acquisire (prima dell’im­prenditore): questa fattispecie ricorre tipicamente quando siano i dipendenti o i collaboratori dell’imprenditore ad elaborare, sviluppare o acquisire informazioni ed esperienze in esecuzione delle loro mansioni o dei loro incarichi. L’accordo di riservatezza deve tenere in debita considerazione tale evenienza per individuare preventivamente questo genere di segreti e imporre i relativi obblighi di riservatezza. L’accordo dovrà in particolare stabilire che il dipendente o il collaboratore che elabori od apprenda simili informazioni deve riferirle solamente all’imprenditore o alle persone da questi individuate nel sistema di flussi informativi predisposto ed utilizzarle esclusivamente per l’esple­tamento delle proprie mansioni o del proprio incarico. Quindi, per converso, l’accordo dovrà vietargli di rivelare queste informazioni a terzi e di utilizzarle a fini diversi da quelli per cui le ha apprese ^[52]. L’accordo di riservatezza dovrà però essere preciso nell’individuare la specifica attività (industriale, commerciale o di ricerca) nella quale il dipendente o il collaboratore potrebbe elaborare, sviluppare o acquisire nuovi segreti commerciali: solamente il rigore nel perimetrare il contesto di formazione di questi futuri possibili segreti consentirà infatti di renderli identificabili e di evitare la genericità non rispettosa dell’onere di identificazione alla base dell’art. 98, lett. c), c.p.i.

Dopo aver individuato le informazioni che ne sono oggetto, l’accordo di riservatezza deve stabilire chiaramente gli obblighi di riservatezza e cioè individuare le obbligazioni, positive e negative, gravanti su chi riceve i segreti commerciali dell’imprenditore. In primo luogo, l’accordo di riservatezza deve prevedere in capo alla parte ricevente le due principali obbligazioni negative (quindi, due divieti): da un lato, il divieto di rivelare le informazioni riservate a terzi non compresi nei flussi informativi senza previa espressa autorizzazione del titolare del segreto; dall’altro, il divieto di utilizzare le informazioni riservate per fini diversi da quelli che ne hanno giustificato la comunicazione o la personale elaborazione in esecuzione delle proprie mansioni o dei propri incarichi. In secondo luogo, qualora il titolare sia stato costretto a consegnare anche il supporto materiale del segreto, l’accordo di riservatezza deve vietare alla parte ricevente di sottrarre, copiare, scaricare, esportare o riprodurre il documento e, una volta finita l’attività a base della condivisione, obbligarla a distruggere o riconsegnare i documenti contenenti le informazioni segrete ^[53]. In terzo luogo, l’accordo di riservatezza può prevedere anche un divieto di ingegneria inversa sui prodotti, incorporanti tecnologia segreta, messi a disposizione della parte ricevente: ciò al fine d’impedire che l’acquisizione di segreti commerciali mediante questa tecnica sia lecita, come altrimenti prevede la direttiva 2016/943 per il caso in cui manchino vincoli od obblighi di segno contrario ^[54].

L’accordo di riservatezza deve poi imporre al ricevente obblighi di custodia, per impedire a terzi non autorizzati di entrare in possesso del segreto ^[55]. Mediante l’accordo di riservatezza, infatti, il titolare del segreto commerciale deve assicurarsi non solo che il ricevente non lo violi, ma anche che il ricevente non consenta a terzi di violarlo. Nel caso in cui il ricevente sia un dipendente del titolare del segreto, l’obbligo di custodia si potrà esaurire nell’obbligo di adottare adeguate misure di protezione nei confronti delle persone non autorizzate ad accedervi. Nel caso in cui, invece, il ricevente sia un soggetto terzo, e in specie nel caso in cui sia a sua volta un imprenditore dotato quindi di una propria organizzazione aziendale, l’obbligo di custodia dovrà avere contenuto più complesso, perché dovrà imporre al ricevente l’adozione delle stesse tre tipologie di misure di protezione che per primo deve adottare il titolare del segreto, ossia: la selezione delle persone autorizzate, l’adozione di misure nei confronti delle persone non autorizzate, e l’adozione di misure nei confronti delle persone autorizzate.

Più precisamente, l’accordo dovrà anzitutto individuare le persone con cui il ricevente può condividere il segreto (identificandole per nome, per categoria o con altro criterio) e prevedere l’obbligo di ottenere la previa autorizzazione del titolare per condividere l’informazione con terzi ivi non menzionati. In secondo luogo, l’accordo dovrà imporre al ricevente l’obbligo di predisporre misure intese ad evitare acquisizioni del segreto da parte di terzi non autorizzati. Relativamente a queste misure, l’aspetto più delicato è stabilire il livello di diligenza cui è tenuto il ricevente. Al riguardo, non paiono appropriate le clausole, diffuse nella prassi, che impongono al ricevente lo stesso livello di diligenza prestato per tutelare i propri diritti di propria proprietà industriale: ciò perché, da un lato, questo significherebbe rimettere allo stesso debitore la definizione del livello di diligenza cui è tenuto; dall’altro, perché significherebbe dover scusare un soggetto che è negligente verso i propri diritti di proprietà industriale. Sembra pertanto rispondere ad una migliore tecnica contrattuale individuare nell’accordo di riservatezza un parametro oggettivo, e non soggettivo, di diligenza, quale ad esempio la diligenza osservata da un imprenditore scrupolosamente avveduto secondo il canone dell’art. 1176, secondo comma, c.c. ^[56]. In terzo luogo, l’accordo dovrà imporre al ricevente l’obbligo di adottare lui stesso misure di protezione nei confronti delle persone cui riferirà i segreti: queste misure dovranno consistere (come si sta esponendo in questo paragrafo) nella selezione delle informazioni condivise, nella tendenziale esclusione della consegna del supporto materiale del segreto, e infine nella stipula di appositi accordi di riservatezza. È peraltro opportuno che il ricevente garantisca l’adempimento di questi accordi di riservatezza da parte dei terzi cui a sua volta rivelerà il segreto e perciò assuma verso il titolare del segreto un obbligo per il fatto del terzo, secondo lo schema dell’art. 1381 c.c.

L’accordo di riservatezza deve disciplinare anche la durata degli obblighi. Nella prassi, talvolta questa durata viene individuata in un numero limitato di anni (ad esempio cinque) oppure viene agganciata alla durata della collaborazione alla base della condivisione del segreto. Una regolamentazione del genere non è però corretta: limitare temporalmente la vigenza degli obblighi di riservatezza significa infatti consentire al ricevente di utilizzare e divulgare del tutto liberamente i segreti non appena scaduto il termine o cessata la collaborazione; momento nel quale potrebbero però non essere venuti meno la segretezza dell’informazione, il suo valore economico e perciò l’intenzione del titolare di tutelarla come proprio segreto commerciale ^[57]. Per questa ragione, gli obblighi di riservatezza non devono cessare né al termine della collaborazione tra il titolare del segreto e il ricevente, né poco tempo dopo. Al contrario, gli obblighi di riservatezza devono necessariamente sopravvivere anche oltre la fine del rapporto che giustifica la condivisione ed avere o durata indeterminata, cessando quindi solo col venire meno dei requisiti del segreto commerciale, o almeno tanto lunga da rendere probabile il raggiungimento nel frattempo dell’obsolescenza del segreto (quindi in genere almeno una decina d’anni). La dottrina ha del resto evidenziato come gli obblighi di riservatezza, in deroga al principio generale della necessaria limitatezza temporale delle obbligazioni, ben possano avere una durata indeterminata e come ciò sia anzi coessenziale a rendere l’accordo di riservatezza una misura di protezione effettivamente ideona a mantenere la segretezza dell’informazione ^[58].

È opportuno che l’accordo di riservatezza disciplini anche le conseguenze della violazione degli obblighi di riservatezza da parte del ricevente. A questo proposito, si rivela particolarmente utile la previsione di penali al fine di forfetizzare il risarcimento del danno eventualmente dovuto al titolare del segreto: grazie ad una clausola penale, infatti, se questi prova l’avvenuta violazione degli obblighi di riservatezza da parte del ricevente potrà pretendere l’importo della penale a titolo di risarcimento del danno senza essere gravato dall’onere, spesso difficile da soddisfare nel caso concreto, di provare altresì l’entità dei danni effettivamente sofferti ^[59].

Un’ultima notazione a proposito delle misure nei confronti delle persone autorizzate. Siccome, a causa della conoscenza del segreto, è in genere maggiore il rischio che siano queste ultime a violare le misure di protezione e a fare del segreto un uso abusivo (utilizzandolo o rivelandolo al di fuori dell’au­torizzazione concessa), può ritenersi buona pratica predisporre dei sistemi di registrazione, monitoraggio e tracciamento della circolazione dei segreti tra le persone autorizzate ^[60], in modo da aumentare le probabilità di individuare l’autore di un’eventuale violazione.

7. Conclusioni.

Per concludere l’analisi, sembra utile proporre qualche indicazione pratica per soddisfare il terzo requisito dei segreti commerciali.

Alla luce di quanto sopra osservato, i seguenti accorgimenti possono ritenersi sufficienti ad integrare le «misure ragionevolmente adeguate» a mantenere il segreto richieste dall’art. 98, lett. c), c.p.i.: anzitutto, la rigorosa selezione delle persone che possono accedere al segreto attraverso il criterio della necessità; in secondo luogo, la protezione mediante password o chiavi crittografiche del singolo documento, dell’area del server o del profilo cloud in cui sono contenuti i segreti; in terzo luogo, la sottoscrizione di adeguati accordi di riservatezza con le persone cui i segreti vengono rivelati e la condivisione materiale dei segreti solo se necessario.

Il detentore del segreto dovrà essere in grado di provare non solo, in generale, l’adozione delle misure di protezione, ma il fatto di averle adottate prima di aver subito la loro asserita violazione ^[61]. A tal fine, il detentore dovrà per lo meno essere in grado di documentare tale adozione, preferibilmente con data certa. Per quanto riguarda le misure di protezione nei confronti delle persone non autorizzate, il detentore può ottenere questo risultato, ad esempio, attraverso il backup o changelog dei sistemi di protezione adottati. Per quanto riguarda invece le misure di protezione nei confronti delle persone autorizzate, potrà ottenere detto risultato, ad esempio, attraverso l’invio per posta elettronica certificata dell’accordo di riservatezza sottoscritto.

Per rendere più sistematica ed efficace l’applicazione delle misure di protezione, l’imprenditore può adottare un protocollo con cui impartisce ai propri dipendenti le direttive sugli accorgimenti da adottare per proteggere i segreti dell’impresa; e il sistema potrebbe essere reso ancora più efficiente disciplinando con un protocollo tutte e tre le fasi fondamentali per la concreta protezione dei segreti, di seguito esaminate.

La prima fase consiste nell’individuazione dei segreti da proteggere. L’im­prenditore può allora prevedere nel protocollo un processo di mappatura e ricognizione delle informazioni aziendali che gli consenta di effettuare le seguenti operazioni: enucleare le informazioni che sono segrete ed hanno valore economico in quanto segrete, e che richiedono pertanto l’applicazione di misure di protezione per poter essere tutelate come segreti commerciali; rilevare le informazioni segrete che potrebbero essere prodotte o acquisite in futuro, in modo da proteggerle immediatamente appena verranno ad esistenza; perimetrare esattamente l’informazione suscettibile di essere tutelata come segreto e alla quale vanno perciò applicate le misure di protezione; imprimere infine, ove possibile, i segreti su documenti in modo da renderne più agevole l’iden­tificazione e in ultima analisi la tutela.

La seconda fase consiste nell’applicazione a ciascun segreto di tutte e tre le tipologie di misure di protezione esaminate nei paragrafi precedenti. L’im­prenditore può allora disciplinare nel protocollo come vanno protette le diverse tipologie di segreto. Dunque, per quanto riguarda la selezione delle persone autorizzate ad accedere al segreto, l’imprenditore potrà stabilire i flussi informativi e i criteri per individuare le persone autorizzate all’interno e all’esterno dell’impresa. Per quanto riguarda le misure da adottare nei confronti delle persone non autorizzate, l’imprenditore potrà stabilire le accortezze da adottare per evitare accessi non autorizzati ai segreti, ad esempio i criteri per la formazione delle password e la periodicità con cui queste vanno modificate. Per quanto riguarda infine le misure da adottare nei confronti delle persone autorizzate, l’imprenditore potrà stabilire i criteri per determinare quando concedere loro la disponibilità del supporto materiale del segreto, i modelli degli accordi di riservatezza da far loro sottoscrivere, e le linee guida che esse devono seguire per la custodia dei segreti.

La terza fase consiste nella periodica revisione delle misure di protezione adottate, in modo da controllarne l’efficacia ^[62]. L’imprenditore può allora stabilire nel protocollo la periodicità con cui i soggetti preposti devono effettuare le seguenti operazioni: la valutazione sull’opportunità di ridurre il numero di persone autorizzate ad accedere a determinati segreti; la modifica delle password; la verifica dell’eventuale obsolescenza sopravvenuta delle misure di protezione nei confronti di persone non autorizzate; la valutazione della copertura assicurata dagli accordi di riservatezza utilizzati; infine, la verifica di eventuali violazioni delle misure di protezione.

Adottato un simile protocollo, l’imprenditore deve prima istruire i propri dipendenti affinché venga applicato in tutta l’impresa, e poi predisporre processi per verificare che venga effettivamente rispettato ^[63]: ad esempio, dovrà adottare accorgimenti informatici atti a validare solo password rispettose dei criteri indicati nel protocollo e a provocarne la scadenza laddove non modificate secondo la periodicità prescritta; dovrà inoltre verificare che i flussi informativi vengano rispettati e che quindi i dipendenti comunichino esclusivamente a quanti ivi indicati i segreti appresi od elaborati nell’ambito delle loro mansioni. Alla luce di tutto ciò, può osservarsi che la tutela del know-how attraverso l’istituto dei segreti commerciali rappresenta una soluzione senz’altro attraente ^[64], ma non sempre significativamente più economica della tutela brevettuale eventualmente alternativa. Se è vero infatti che il procedimento amministrativo per l’ottenimento del brevetto, e da cui discendono costi fissi significativi, è assente nella tutela dei segreti, è del pari vero che quest’ultima è di fatto subordinata alla predisposizione, all’attuazione e al continuo controllo di strumenti di protezione inevitabilmente dispendiosi di risorse finanziarie, umane e temporali: basti pensare ai costi per le tecnologie informatiche e per i consulenti incaricati di predisporle e di assicurarne l’operatività, o al tempo (e quindi al costo economico) necessario all’educazione del personale e all’inte­grazione dei processi aziendali per realizzare la convergenza dei segreti verso le persone deputate a curarne la protezione.

Un’ultima considerazione. L’adozione di un protocollo non è giuridicamente necessaria, giacché l’acquisto del diritto sul segreto dipende esclusivamente dalla sua sottoposizione alle misure di protezione. Potrebbe nondimeno rivelarsi utile in sede giudiziaria, giacché potrebbe agevolare l’imprenditore nella prova di tale sottoposizione: l’imprenditore, infatti, potrebbe raggiungere la prova dimostrando che l’impresa aveva adottato un protocollo riguardante tutte e le tre fasi (individuazione dei segreti, applicazione delle misure di protezione e periodico controllo della loro efficacia), che questo protocollo era effettivamente e regolarmente applicato nell’impresa prima della denunciata violazione, che l’informazione in questione rientrava tra quelle considerate dal protocollo, che pertanto quest’ultima era stata individuata ed assoggettata a misure di protezione periodicamente revisionate ^[65].

NOTE

[1] In generale sul tema dei segreti commerciali v. A. Frignani, voce Segreti d’impresa, in Dig. comm., XIII, Torino, Utet, 1996, 334 ss.; F. Massa Felsani, Contributo all’analisi del know-how, Milano, Giuffrè, 1997; P. Auteri, Adeguamento della legislazione interna in materia di proprietà industriale alle prescrizioni obbligatorie dell’accordo relativo agli aspetti dei diritti di proprietà intellettuale concernenti il commercio – Uruguay Round, in Nuove leggi civ. comm., 1998, 71 ss.; Id., Commento al nuovo art. 6 bis legge invenzioni, in Commentario al D.lgs. 19 marzo 1996, n. 198, ivi, 1998, 131 ss.; L. Mansani, La nozione di segreto di cui all’art. 6 bis l.i., in Dir. ind., 2002, 217 ss.; G. Guglielmetti, La tutela del segreto, in Le nuove frontiere del diritto dei brevetti, a cura di C. Galli, Torino, Giappichelli, 2003, 109 ss.; M. Bertani, Proprietà intellettuale e nuove tecniche di appropriazione delle informazioni, in Aa.Vv., Studi in onore di Gerhard Schricker, Milano, Giuffrè, 2005, 22 ss.; G. Floridia, Il riassetto della proprietà industriale, Milano, Giuffrè, 2006; Id., Le creazioni protette, in P. Auteri, G. Floridia, V. Mangini, G. Olivieri, M. Ricolfi, R. Romano, P. Spada, Diritto industriale. Proprietà intellettuale e concorrenza⁶, Torino, Giappichelli, 2020, 209 ss., 222 ss.; G. Ghidini, La tutela del segreto: critica di una “riforma”, in Dir. ind., 2008, 167 ss.; B. Franchini Stufler, Il know-how e la tutela dei segreti d’impresa, Torino, Giappichelli, 2009; A. Vanzetti, La tutela “corretta” delle informazioni segrete, in Riv. dir. ind., 2011, I, 95 ss.; C. Paschi, sub art. 98, in Codice commentato della proprietà industriale e intellettuale, a cura di C. Galli, A. Gambino, Torino, Utet, 2011, 893 ss.; M. Libertini, Le informazioni aziendali segrete come oggetto di diritti di proprietà industriale, in Rivista italiana per le scienze giuridiche, 2011, 137 ss.; Id., Le informazioni commerciali riservate (segreti commerciali) come oggetto di diritti di proprietà industriale, in Dir. ind., 2017, 566 ss.; Id., Brevi note sui rimedi risarcitori e indennitari a tutela dei segreti commerciali, in Contr. impr. Eur., 2018, 3 ss.; G. Sena, Efficienza e inefficienza della macchina normativa (note sui c.d. diritti non titolati), in Riv. dir. ind., 2012, I, 83 ss.; D. Sarti, voce Informazioni aziendali segrete, in Treccani.it – L’enciclopedia italiana – Diritto on line, 2014, reperibile in internet al seguente indirizzo: https://www.treccani.it/enciclopedia/informazioni-aziendali-segrete_%28Diritto-on-line%29/; M. Traverso, La direttiva europea sui segreti commerciali e il diritto italiano: alcuni spunti, in Dir. ind., 2017, 578 ss.; F. Banterle, M. Blei, Alcune novità introdotte dalla direttiva trade secrets, in Riv. dir. ind., 2017, I, 202 ss.; V. Falce, Segreto commerciale, concorrenza sleale e diritto di proprietà intellettuale. Certezze e perplessità della Dir. UE 2016/943, in Dir. ind., 2017, 560 ss.; Ead., Dati e segreti. Dalle incertezze del Regolamento Trade secret ai chiarimenti delle Linee Guida della Commissione UE, ivi, 2018, 155 ss.; A. Vanzetti, V. Di Cataldo, M.S. Spolidoro, Manuale di diritto industriale⁹, Milano, Giuffrè Francis Lefebvre, 2021, 497 ss.; A. Gambino, La forza e la fragilità del know-how. Conclusioni, in Dir. ind., 2018, 173 ss.; C. Galli, Potenziale perpetuità della tutela del know-how e contrattualizzazione degli impegni di riservatezza, ivi, 2018, 113 ss.; C. Galli (a cura di), Il nuovo diritto del know-how e dei segreti commerciali. Prima lettura sistematica delle novità introdotte dal D.lgs. 11 maggio 2018, n. 63, Milano, Wolters Kluwer, 2018; S. Serafini, Luci ed ombre della nuova disciplina sul segreto commerciale, in Corr. giur., 2018, 1329 ss.; A. Ottolia, Il d.lgs. n. 63/18 di attuazione della dir. 2016/943/UE sulla protezione dei segreti commerciali fra tutela e bilanciamenti, in Nuove leggi civ. comm., 2019, 1091 ss.; D. Mastrelia, La tutela del know-how delle informazioni e dei segreti commerciali fra novità normative, teoria e prassi, in Dir. ind., 2019, 513 ss.; P. Magnani, La tutela concorrenziale del segreto nella ricerca di un equilibrio tra interessi privati e collettivi: fondamenti giuridici ed economici della protezione alla luce della direttiva 2016/943, in Aa.Vv., Studi per Luigi Carlo Ubertazzi. Proprietà intellettuale e concorrenza, Milano, Giuffrè Francis Lefebvre, 2019, 463 ss.; G. Ciccone, F. Ghini, La tutela giudiziale civile dei segreti commerciali anche dopo l’intro­duzione del d.lgs. n. 63/2018, in Dir. ind., 2019, 525 ss.

[2] In giurisprudenza: Cass. civ., sez. I, 20 marzo 1991, n. 3011, in Foro it., 1993, I, 3154, con nota di S. Di Paola; Cass. civ., sez. lav., 18 agosto 2004, n. 16156; Cass. civ. sez. I, 30 maggio 2007, n. 12681, in Giur. ann. dir. ind., 2007, 98; Cass. civ., sez. I, 23 dicembre 2015, n. 25921, in Riv. dir. ind., 2016, II, 407 ss., con nota di R. Petti; Cass. civ. sez. I, 31 marzo 2016, n. 6274, ivi, 2017, II, 345 ss., con nota di R. Petti; Cass. civ., sez. I, 12 luglio 2019, n. 18772, ivi, 2020, I, 101; Cass. civ., sez. VI, 3 febbraio 2022, n. 3454; App. Firenze, 21 ottobre 2020; Trib. Torino, 11 marzo 2011; Trib. Bologna, 6 marzo 2018; Trib. Torino, 15 novembre 2018; Trib. Brescia, 20 aprile 2019; Trib. Ancona, 27 maggio 2019; Trib. Roma, 17 settembre 2021; Trib. Ancona, 30 settembre 2021; tutte le sentenze citate sono reperibili nella banca dati De Jure. In dottrina, v. per tutti A. Vanzetti, V. Di Cataldo, M.S. Spolidoro, (nt. 1), 115 ss.

[3] In giurisprudenza, v. Cass. civ., sez. I, 20 marzo 1991, n. 3011, (nt. 2); Cass. civ., sez. I, 30 maggio 2007, n. 12681, (nt. 2); Trib. Torino, 19 febbraio 2011, in Giur. ann. dir. ind., 2011, 752; Trib. Torino, 11 marzo 2011, (nt. 2); Trib. Brescia, 20 aprile 2019, (nt. 2). In dottrina, v. M. Libertini, I principi della correttezza professionale nella disciplina della concorrenza sleale, in Eur. dir. priv., 1999, 509 ss., 540 s.; C. Paschi, La tutela concorrenziale per le informazioni “non qualificate”, in Riv. dir. ind., 2012, I, 95 ss., 96 ss.

[4] Più precisamente, si tratta della direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio dell’8 giugno 2016 sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti, recepita in Italia con il d.lgs. 11 maggio 2018, n. 63.

[5] Sulle novità introdotte con il recepimento della direttiva 2016/943, v. F. Banterle, M. Blei, (nt. 1), passim; A. Ottolia, (nt. 1), 1091 ss.

[6] L’art. 39 TRIPs definisce «undisclosed information» un’informazione che soddisfi i seguenti requisiti «(a) is secret in the sense that it is not, as a body or in the precise configuration and assembly of its components, generally known among or readily accessible to persons within the circles that normally deal with the kind of information in question; (b) has commercial value because it is secret; and (c) has been subject to reasonable steps under the circumstances, by the person lawfully in control of the information, to keep it secret».

[7] L’art. 2, par. 1, n. 1, della direttiva definisce «segreto commerciale» le «informazioni che soddisfano tutti i seguenti requisiti: a) sono segrete nel senso che non sono, nel loro insieme o nella precisa configurazione e combinazione dei loro elementi, generalmente note o facilmente accessibili a persone che normalmente si occupano del tipo di informazioni in questione; b) hanno valore economico in quanto segrete; c) sono state sottoposte a misure ragionevoli, secondo le circostanze, da parte della persona al cui legittimo controllo sono soggette, a mantenerle segrete».

[8] Precisamente, l’art. 98, lett. a), c.p.i. richiede che le informazioni «siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore». Sull’in­terpretazione del requisito della segretezza dell’informazione, nel senso che le conoscenze non devono essere parte del sapere noto, ovvero devono essere ricostituibili solo a seguito di investimenti significativi, v. in giurisprudenza App. Torino, 19 maggio 2017; Trib. Bologna, 27 maggio 2008, entrambe nella banca dati Pluris; Trib. Milano, 14 febbraio 2012; Trib. Bologna, 27 luglio 2015, entrambe reperibili nella banca dati De Jure; Trib. Venezia, 16 luglio 2015, in Riv. dir. ind., 2015, II, 437 ss., con nota di N. Romanato; Trib. Milano, 10 maggio 2016, reperibile in internet al seguente indirizzo: www.giurisprudenzadelleimprese.it; Trib. Bologna, 25 ottobre 2017; Trib. Milano, 14 gennaio 2019, entrambe nella banca dati De Jure; Trib. Ancona, 30 settembre 2021, (nt. 2). In dottrina v. G. Guglielmetti, (nt. 1), 127 ss.; B. Franchini Stufler, (nt. 1), 102 ss.; M. Libertini, Le informazioni aziendali segrete, (nt. 1), 150 ss.; A. Ottolia, (nt. 1), 1097 ss.

[9] Precisamente, l’art. 98, lett. b), c.p.i. richiede che le informazioni «abbiano valore economico in quanto segrete». Sull’interpretazione del requisito del valore economico dell’infor­mazione, v. in giurisprudenza App. Torino, 19 maggio 2017, (nt. 8); Trib. Bologna, 25 luglio 2008, (nt. 8); Trib. Bologna, 27 luglio 2015, (nt. 8); Trib. Milano, 23 febbraio 2016, reperibile in internet al seguente indirizzo: www.giurisprudenzadelleimprese.it; Trib. Torino, 15 novembre 2018, (nt. 2); Trib. Milano, 14 gennaio 2019, (nt. 8); Trib. Ancona, 30 settembre 2021, (nt. 2). In dottrina, v. B. Franchini Stufler, (nt. 1), 104 s.; F. Banterle, M. Blei, (nt. 1), 209 s.; M. Libertini, Le informazioni commerciali riservate, (nt. 1), 567 s., il quale, coniugando i primi due requisiti previsti dall’art. 98 c.p.i., conclude che le informazioni suscettibili di divenire oggetto di segreti commerciali possono ricondursi a quattro diverse classi: «a) il segreto industriale “classico”, di contenuto delimitato e “puntiforme”, relativo a qualche eccezionale particolarità del processo produttivo, rispetto alla quale il segreto può essere difeso per tempi molto lunghi (p.e. la formula della Coca Cola o dell’amaro Averna); b) l’informazione relativa a progetti, tecnici o commerciali (ivi comprese le trattative negoziali) e a programmi in corso nell’attività d’impresa (informazioni di grandissimo interesse in quanto segrete, e non brevettabili; qui l’interesse al segreto può essere di durata limitata nel tempo, e destinato ad essere superato nel momento i cui la fase preparatoria di un certo progetto è portata a conclusione, ma può anche avere – in altri casi – una portata temporale indeterminabile a priori); c) le informazioni “storiche” organizzate, di cui l’impresa è in possesso: liste di clienti, più o meno “profilati”; ricerche di mercato commissionate a terzi e via dicendo; d) il know-how, inteso come complesso dinamico di informazioni (in parte pubbliche, in parte brevettate, in parte segrete), utilizzabili nel loro insieme (organico) per programmare una certa linea di comportamento sul mercato; caratteristica peculiare del know-how (che lo differenzia, a parte i dati strutturali, dagli altri segreti commerciali) è anche la sua destinazione alla condivisione e all’utilizzazione come risorsa immateriale nell’ambito di rapporti di cooperazione fra imprese; in proposito si deve poi distinguere tra il know-how proprio (segreto, sostanziale e individuato, così come descritto nel reg. 316/2014 sui trasferimenti di tecnologia e nella L. n. 129/2004 sul franchising, rispetto al quale la segnalata “destinazione alla condivisione” si realizza a pieno), dal know-how improprio (che è pure segreto e sostanziale, ma non individuato in appositi documenti destinati alla condivisione): quest’ultimo è di crescente importanza in settori caratterizzati da un flusso di innovazioni così intenso e mutevole (p.e. le competizioni sportive nel settore automobilistico o motociclistico), da rendere non conveniente una corrispondenza lineare fra qualsiasi innovazione e il brevetto»; A. Ottolia, (nt. 1), 1101 s., il quale evidenzia che il valore economico può essere anche solo potenziale, come riconosciuto dal 14° considerando della direttiva 2016/943 e come tipicamente accade nei casi di formazione diacronica del segreto, dove cioè il segreto insiste su una massa grezza di dati dalla quale possono essere estratte specifiche informazioni inizialmente non rilevabili dal detentore: in questi casi però, osserva condivisibilmente l’a., la necessità di tutelare il controinteresse alla circolazione della conoscenza impone di limitare l’espansione diacronica del diritto sul segreto alle sole conoscenze potenziali per le quali sia provata la sussistenza di un valore commerciale potenziale; G. Floridia, Le creazioni protette, (nt. 1), 225.

[10] È stato evidenziato in dottrina (A. Ottolia, (nt. 1), 1094 ss.; in senso analogo M. Traverso, (nt. 1), 580 s.) come a seguito del recepimento della direttiva 2016/943 il titolare del segreto commerciale non debba più essere necessariamente un imprenditore. A livello europeo, l’estensione dell’ambito soggettivo di applicazione della disciplina sui segreti è desumibile dai seguenti indici normativi: (i) il 1° considerando include anche gli enti di ricerca non commerciali fra i soggetti che investono nel know-how; (ii) l’art. 2 definisce detentore «qualsiasi persona fisica o giuridica che controlla legittimamente un segreto commerciale»; (iii) l’art. 4, par. 2, della direttiva definisce l’acquisizione, l’utilizzo e la divulgazione illeciti come quelli derivanti, in generale, dall’accesso non autorizzato a tali informazioni senza porre alcun’altra specificazione relativa ai soggetti e, soltanto in via alternativa, include le condotte che, secondo le circostanze, siano contrarie «a leali pratiche commerciali»; (iv) a livello sistematico, il segreto commerciale è stato progressivamente emancipato dalla ricostruzione concorrenziale per divenire un altro mezzo, al pari di altri diritti di proprietà industriale, per appropriarsi dei risultati delle attività innovative. A livello nazionale, invece, l’estensione dell’ambito soggettivo è suggerita dalla sostituzione, nel linguaggio del c.p.i., dell’espressione «informazioni aziendali riservate» con l’espressione «segreti commerciali»: difatti, mentre la prima implica evidentemente una particolare provenienza e strumentalità delle informazioni (secondo lo schema dell’art. 2555 c.c.), l’aggettivo «commerciale» evoca invece, più in generale, un’idoneità dell’informazione ad essere utilizzata nel mercato. Pur condividendosi queste conclusioni, nel presente lavoro si farà tuttavia per lo più riferimento agli imprenditori per indicare i detentori di segreti commerciali, anche in considerazione del fatto che, da un lato, nella prassi la gran parte dei segreti commerciali sono detenuti da questa categoria, e, dall’altro, quand’anche un segreto commerciale sia sviluppato al di fuori di un contesto aziendale, è spesso inevitabile che, per poterlo sfruttare, il suo detentore debba in qualche modo poi trasferirlo al mondo imprenditoriale (come osserva condivisibilmente B. Franchini Stufler, (nt. 1), 179).

[11] Precisamente, l’art. 98, lett. c), c.p.i., richiede che le informazioni «siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete». Il terzo requisito del segreto commerciale è stato perciò descritto dal legislatore nazionale in termini leggermente diversi rispetto alla corrispondente formulazione della direttiva 2016/943 (v. sopra, nt. 7). V. tuttavia quanto osservato in proposito da M. Libertini, Il rapporto tra direttiva e decreto di attuazione e l’applicabilità in via interpretativa delle disposizioni comunitarie non inserite nel codice, in C. Galli (a cura di), Il nuovo diritto del know-how e dei segreti commerciali, (nt. 1), 20 ss., 24, secondo cui la norma interna rappresenta in realtà una mera parafrasi del testo europeo: il riferimento della direttiva a misure ragionevoli «secondo le circostanze», che rappresenta la differenza più significativa, non aggiunge molto al criterio di ragionevolezza contenuto nella norma interna e che implicitamente richiama l’esigenza di dare rilevanza a tutte le circostanze del caso.

[12] G. Guglielmetti, (nt. 1), 129; D. Sarti, (nt. 1), per il quale il requisito in esame esprime l’esigenza che le informazioni vengano anzitutto individuate dall’imprenditore ed acquistino così un’autonoma capacità di divenire oggetto di atti di sfruttamento e trasferimento indipendente dalle capacità professionali personali dei singoli collaboratori dell’impresa; B. Franchini Stufler, (nt. 1), 109; A. Ottolia, (nt. 1), 1099 s.; P. Magnani, (nt. 1), 477 s. In senso simile anche L. Mansani, (nt. 1), 218.

[13] A. Ottolia, (nt. 1), 1100, secondo cui il requisito in esame impone una verifica piena e puntuale circa l’effettiva identificazione delle informazioni segrete, al fine di evitare un’in­debita estensione del perimetro delle conoscenze protette; P. Magnani, (nt. 1), 477 s. V. anche Trib. Brescia, 23 aprile 2021, reperibile nella banca dati De Jure, secondo cui l’identificazione dell’informazione segreta consente di individuarne chiaramente i confini, i quali altrimenti potrebbero apparire talmente sfuocati da rendere impossibile la perimetrazione del­l’oggetto del (preteso) diritto e di conseguenza precluderne la tutela.

[14] Cfr. A. Ottolia, (nt. 1), 1099, nt. 29, dove l’a. individua una simmetria con la descrizione dell’invenzione contenuta nella domanda di brevetto. Sulla funzione della rivendicazione, in dottrina v G. Sena, I diritti sulle invenzioni e sui modelli industriali³, in Trattato di diritto civile e commerciale, già diretto da A. Cicu, F. Messineo, continuato da L. Mengoni, IX***, Milano, Giuffrè, 1990, 264 ss.; in giurisprudenza v. Cass. civ., sez. I, 28 luglio 2016, n. 15705; Cass. civ., sez. I, 7 febbraio 2020; Cass. civ., sez. I, 4 gennaio 2022, n. 120; tutte le sentenze citate sono reperibili nella banca dati De Jure; Trib. Torino, 30 maggio 2006, in Giur. ann. dir. ind., 2007, 272; Trib. Torino, 28 marzo 2019, reperibile nella banca dati De Jure.

[15] Cfr. A. Ottolia, (nt. 1), 1100, testo e nt. 31, il quale sottolinea come l’esigenza di una puntuale identificazione del segreto sia ricondotta in via generale dalla giurisprudenza alla necessità di poter verificare la sussistenza dei requisiti dell’art. 98 c.p.i.

[16] Cfr. in questo senso M. Libertini, Le informazioni aziendali segrete, (nt. 1), 159 ss., secondo il quale, seppure l’onere di individuare il know-how di fatto imponga all’imprenditore di documentarlo in qualche manuale o supporto elettronico, «non può escludersi che la tutela legislativa possa estendersi anche ad “esperienze aziendali” non aventi tutte le caratteristiche sopra ricordate, ma comunque dotate di determinatezza e idonee a caratterizzare l’attività d’im­presa (know-how in senso lato). Certamente, la mancanza di strumenti precisi di documentazione (manuali di know-how) e simili potrebbe rendere difficile e precaria la prova del diritto e la relativa tutela, ma questa estensione non mi sembra da esclude in assoluto».

[17] M. Libertini, Le informazioni commerciali riservate, (nt. 1), 569; G. Floridia, Le creazioni protette, (nt. 1), 223.

[18] Cfr. C. Galli, (nt. 1), 115, il quale evidenzia che tutti e tre i requisiti imprescindibili di un segreto commerciale, previsti dall’art. 98 c.p.i., «ruotano […] intorno all’esistenza e al mantenimento del segreto» (corsivo originale).

[19] È pacifico che il diritto sui segreti commerciali perduri fintanto che ne persistono i tre requisiti, al punto da essere potenzialmente perpetuo: così A. Vanzetti, V. Di Cataldo, M.S. Spolidoro, (nt. 1), 499; C. Galli, (nt. 1), 117, il quale peraltro evidenzia come la potenziale perpetuità della tutela non sia una caratteristica esclusiva dei segreti giacché contraddistingue anche la disciplina dei segni distintivi, delle denominazioni di origine e delle indicazioni geografiche.

[20] Cfr. il 16° considerando della direttiva 2016/943, secondo cui «nell’interesse dell’inno­vazione e della concorrenza, le disposizioni della presente direttiva non dovrebbero creare alcun diritto esclusivo sul know-how o sulle informazioni che godono di protezione in quanto segreti commerciali». Per una ricostruzione dell’evoluzione normativa, del conseguente dibattito sull’oscillazione del legislatore tra una tutela concorrenziale e una tutela domenicale del segreto, e della concorde opinione di non drammatizzare le conseguenze di questa differenza, v. G. Guglielmetti, (nt. 1), 118 ss.; G. Ghidini, (nt. 1), passim; A. Vanzetti, (nt. 1), passim; D. Sarti, (nt. 1); M. Libertini, Le informazioni commerciali riservate, (nt. 1), 569 s.; M. Traverso, (nt. 1), 579 s.; A. Ottolia, (nt. 1), 1103 ss.; S. Serafini, (nt. 1), 1330 ss.; P. Magnani, (nt. 1), 464 ss.

[21] Precisamente, l’art. 99, primo comma., c.p.i., esclude la violazione dell’altrui diritto quando i segreti «siano stati conseguiti in modo indipendente dal terzo». L’art. 3, par. 1, lett. a), della direttiva, 2016/943, esclude la violazione dell’altrui diritto quando l’acquisizione dell’informazione segreta avvenga per «scoperta o creazione indipendente». Per via della legittimità della scoperta indipendente, laddove l’informazione abbia carattere tecnico e i requisiti necessari, un terzo potrebbe anche legittimamente brevettarla, facendo così cadere il segreto e quindi il diritto su di esso vantato dal primo scopritore, fatto salvo il diritto di quest’ultimo di continuare a far uso dell’informazione nei limiti del preuso secondo quanto previsto dall’art. 68, terzo comma, c.p.i.: così D. Sarti, (nt. 1); A. Vanzetti, V. Di Cataldo, M.S. Spolidoro, (nt. 1), 499 s.; C. Galli, (nt. 1), 116.

[22] Precisamente, mentre l’art. 99, primo comma, c.p.i., fa semplicemente «salvo» l’even­tuale consenso del titolare, l’art. 4, par. 2, lett. a), della direttiva 2016/943 fa riferimento all’ac­quisizione del segreto senza il consenso del titolare e «con l’accesso non autorizzato, l’appro­priazione o la copia non autorizzate d documenti, oggetti, materiali, sostanze o file elettronici sottoposti al lecito controllo del detentore del segreto commerciale, che contengono il segreto commerciale o da quali il segreto può essere desunto».

[23] Precisamente, l’art. 3, par. 1, lett. b), della direttiva, 2016/943, esclude la violazione del­l’altrui diritto quando l’acquisizione del segreto avvenga a seguito di «osservazione, studio, smontaggio o prova di un prodotto o di un oggetto messo a disposizione del pubblico o lecitamente in possesso del soggetto che acquisisce le informazioni, il quale è libero da qualsiasi obbligo giuridicamente valido di imporre restrizioni all’acquisizione del segreto commerciale». Malgrado l’art. 99 c.p.i. non ne faccia espressa menzione, è pacifico in dottrina (per tutti, A. Vanzetti, V. Di Cataldo, M.S. Spolidoro, (nt. 1), 499; M. Libertini, (nt. 11), 26) e giurisprudenza (v. Trib. Brescia, 23 aprile 2021, (nt. 13)) che l’ingegneria inversa costituisce anche a livello interno un’ipotesi di legittima acquisizione di altrui segreti commerciali: questa conclusione s’impone sia perché le norme del c.p.i. sui segreti commerciali vanno ora necessariamente interpretate in senso conforme alla sovraordinata normativa europea (A. Ottolia, (nt. 1), 1092 s. e 1098) la quale, all’art. 1, par. 1, secondo comma, consente agli Stati membri d’introdurre solo un livello più ampio di protezione ed individua l’art. 3, dov’è sancita la legittimità dell’acquisizione per ingegneria inversa, come norma di applicazione necessaria; sia perché detta ipotesi può comunque ricondursi in via interpretativa entro la fattispecie del segreto conseguito in modo indipendente dal terzo. Per interpretazione concorde, la direttiva 2016/943 chiarisce inoltre che, per rientrare nell’esimente, l’ingegneria inversa deve rappresentare il mezzo con cui concretamente il terzo ha acquisito l’altrui segreto commerciale, non potendosi legittimare la violazione di misure di protezione per il solo fatto che, astrattamente, l’informazione sarebbe stata acquisibile anche per tale via: così C. Galli, I nuovi usi leciti dei segreti commerciali altrui e la contrattualizzazione degli impegni di riservatezza, in C. Galli (a cura di), Il nuovo diritto del know-how e dei segreti commerciali, (nt. 1), 57 ss., 59; A. Ottolia, (nt. 1), 1113; P. Magnani, (nt. 1), 471 e 479 ss.; M. Bogni, Segreto e reverse engineering dopo la direttiva (UE) 943/2016 e la sua attuazione in Italia, in C. Galli, (a cura di), Il nuovo diritto del know-how e dei segreti commerciali, (nt. 1), 36 ss. Sulla concreta operatività dell’acquisizione lecita tramite ingegneria inversa, v. M. Traverso, (nt. 1), 581 ss.; A. Bottarini, M. Venturello, Ingegneria inversa e decompilazione come limiti al segreto commerciale. Spunti sull’intima coerenza del Codice della Proprietà Industriale, in Contr. impr. Eur., 2018, 36 ss.; M. Bogni, Informazioni tecniche non riservate e tutela concorrenziale della progettazione, in Dir. ind., 2018, 123 ss.

[24] L’art. 4, par. 3, lett. b) e c), della direttiva 2016/943, sancisce l’illiceità dell’utilizzo e della divulgazione di un segreto se l’autore della condotta «viola un accordo di riservatezza o qualsiasi altro obbligo di non divulgare il segreto» oppure «viola un obbligo contrattuale o di altra natura che impone limiti all’utilizzo del segreto commerciale». Sul punto v. C. Galli, Potenziale perpetuità della tutela, (nt. 1), 114.

[25] Cfr. G. Floridia, Le creazioni protette, (nt. 1), 225, per il quale «l’adozione di queste misure costituisce, in primo luogo, il presupposto logico e fattuale dell’abusività della sottrazione da parte del terzo, dato che non si abusa del segreto altrui se non si forzano le misure di protezione poste a salvaguardia della segretezza». La sostanza del discorso sviluppato in testo non viene incisa dalla tutela che il titolare del segreto vanta anche nei confronti di terzi, secondo quanto previsto dall’art. 99, commi 1-bis e 1-ter, c.p.i., giacché questa tutela si dirige a ben vedere contro quanti, sapendo o dovendo sapere di star acquisendo informazioni segrete da altri che le stavano utilizzando o rivelando illecitamente, si sono di fatto resi partecipi o beneficiari della violazione delle misure di protezione da altri perpetrata.

[26] L. Mansani, (nt. 1), 218; G. Guglielmetti, (nt. 1), 129; C. Galli, Potenziale perpetuità della tutela, (nt. 1), 116, per il quale «l’esclusiva attribuita dai segreti commerciali è limitata al rispetto di questa sfera di riservatezza e non ha ad oggetto il contenuto obiettivo delle informazioni» (corsivo originale). Poiché il segreto commerciale tutela un bene diverso dall’informa­zione in sé, è stato giustamente rilevato (G. Guglielmetti, (nt. 1), 109 ss.) che questo istituto può variamente combinarsi con gli altri istituti di proprietà industriale ed essere quindi utilizzato: a) come alternativa al brevetto, qualora le informazioni riservate possiedano i requisiti di brevettabilità; b) come complementare al brevetto, quando accanto ad un nucleo di informazioni brevettate ne vengono mantenute altre non brevettate ma segrete; c) come accessorio, per ottenere la tutela brevettuale ed eventualmente proteggere le informazioni tra il deposito della domanda di brevetto e la sua pubblicazione; d) come cumulativo, nel caso di software tutelabile dal diritto d’autore, dove il segreto verrebbe addirittura a sovrapporsi alla tutela offerta dal copyright; e) come unica forma disponibile per determinate informazioni che non posseggano i requisiti di brevettabilità o che neanche in astratto potrebbero essere brevettabili, perché sfornite di carattere tecnico, come i segreti commerciali riferiti all’organizzazione o all’attività del­l’impresa. Per quanto riguarda specificamente i rapporti tra la tutela a mezzo brevetto e tutela a mezzo segreti commerciali, e in particolare l’alternativa che questi due istituti offrono all’im­prenditore tra pubblicare l’informazione ed acquisire su di essa un diritto assoluto ma temporalmente limitato, oppure mantenere l’informazione segreta ed acquisire un diritto circoscritto alla sua riservatezza ma temporalmente illimitato, si vedano M. Libertini, Le informazioni aziendali segrete, (nt. 1), 139 ss. e 185 s.; Id., Le informazioni commerciali riservate, (nt. 1), 567 ss.; S. Serafini, (nt. 1), 1336 s.; P. Magnani, (nt. 1), 471 ss., in part. 480 ss.; G. Floridia, Le creazioni protette, (nt. 1), 225 s.; in giurisprudenza, v. Cass. civ., sez. III, 15 aprile 2019, n. 10420.

[27] In merito ai rimedi esperibili a fronte di violazioni dei segreti commerciali, v. M. Libertini, Brevi note sui rimedi risarcitori e indennitari, (nt. 1), passim; Id., (nt. 11), 27 ss.; S. Corona, Le nuove misure alternative in materia di segreto e i loro limiti di applicazione, in C. Galli (a cura di), Il nuovo diritto del know-how e dei segreti commerciali, (nt. 1), 96 ss.; A. Contini, C. Galli, Risarcimento del danno da violazione del segreto commerciale tra continuità e nuove regole contenute nella direttiva, in C. Galli (a cura di), Il nuovo diritto del know-how e dei segreti commerciali, (nt. 1), 129 ss.

[28] La misura di protezione di cui, nella prassi, più spesso si tollera la violazione sono gli accordi di riservatezza, per cui per ragioni di natura commerciale si decide di non contestare la violazione, o di non applicare le penali previste: v. infatti C. Galli, Potenziale perpetuità della tutela, (nt. 1), 122, il quale evidenzia come degli accordi di riservatezza si rivelino una misura inidonea se di fatto non sono rispettati.

[29] In questo senso M. Libertini, Le informazioni aziendali segrete, (nt. 1), 177 s., ad avviso del quale la previsione legislativa che lascia «ferma la disciplina della concorrenza sleale» non sembra avere una portata sostanziale in termini di copertura di fattispecie non tutelate dalla norma sulla protezione del segreto come diritto di proprietà industriale, e deve pertanto ritenersi che attualmente «non ci sia spazio per una tutela delle informazioni aziendali mediante la disciplina della concorrenza sleale, integrativa rispetto alla tutela fornita dal codice della proprietà industriale»; Id., Le informazioni commerciali riservate, (nt. 1), 570 s. In senso contrario v. però, in giurisprudenza, Trib. S. Maria Capua Vetere, 18 agosto 2006, in Corr. mer., 2007, 54, con nota di E. Battelli; Trib. Torino, 19 febbraio 2011, (nt. 3); Trib. Torino, 11 marzo 2011, (nt. 2); Trib. Bologna, 6 marzo 2018, (nt. 2); Trib. Brescia, 20 aprile 2019, (nt. 2); Trib. Ancona, 27 maggio 2019, (nt. 2); in dottrina, D. Sarti (nt. 1), secondo cui la clausola di salvezza della disciplina concorrenziale deve intendersi non solo nel senso che la violazione dei segreti commerciali integra contemporaneamente un atto di concorrenza sleale, ma anche nel senso di ammettere una protezione concorrenziale complementare anche per informazioni che non presentino i requisiti dell’art. 98 c.p.i. ma vengano sottratte con mezzi professionalmente scorretti; B. Franchini Stufler, (nt. 1), 108 s. e 146 ss.; A. Vanzetti, V. Di Cataldo, M.S. Spolidoro, (nt. 1), 118; G. De Cristofaro, La tutela concorrenziale delle informazioni “meno riservate”, in C. Galli (a cura di), Il nuovo diritto del know-how e dei segreti commerciali, (nt. 1), 87 ss., 88 ss. e in part. 94; C. Paschi, (nt. 3), 96 ss.; D. Sbariscia, La tutela concorrenziale delle informazioni “meno riservate”, in Dir. ind., 2018, 127 ss., 131; M. Bogni, Informazioni tecniche non riservate, (nt. 23), 125 s.

[30] Sul tema del difficile bilanciamento tra il diritto dell’imprenditore sui propri segreti commerciali e il diritto dei lavoratori allo sfruttamento delle competenze maturate, v. A. Frignani, (nt. 1), 344 s.; D. Sarti, (nt. 1), secondo cui «l’interesse del lavoratore ad utilizzare in proprio o presso altri imprenditori le nozioni acquisite durante il precedente rapporto può in via generale prevalere quando queste nozioni ineriscono alle capacità professionali proprie del dipendente, non sono suscettibili di essere trasmesse a terzi autonomamente, e perciò possono circolare soltanto attraverso il trasferimento del lavoratore da una ad altra organizzazione aziendale»; M. Traverso, (nt. 1), 583 ss.; M. Libertini, Le informazioni aziendali segrete, (nt. 1), 169 ss.; Id., (nt. 11), 32, ad opinione del quale è preferibile un’interpretazione restrittiva, che limiti la deroga ai casi in cui vi sia stato un apporto di creatività individuale del dipendente, nella costruzione del segreto, e che non basti la sola assenza di strumenti illeciti di acquisizione dell’informazione.

[31] In questo senso parrebbe orientarsi anche la Suprema Corte: v. Cass. civ., sez. I, 12 luglio 2019, n. 18772, (nt. 2), secondo la quale «un complesso di informazioni aziendali (nel caso commerciali) non costituenti oggetto di un vero e proprio diritto di proprietà industriale come “informazioni riservate” ed ora come “segreti commerciali” ex artt. 2 e 98 cod. propr. ind., perché privo dell’uno o dell’altro dei tre requisiti prescritti ex lege, può comunque essere tutelato contro l’abuso concorrenziale a fronte di atti contrari alla correttezza professionale del concorrente. È comunque necessario che si sia in presenza di un complesso organizzato e strutturato di dati cognitivi, seppur non segretati e protetti, che superino la capacità mnemonica e l’esperienza del singolo normale individuo e che configurino così una banca dati che, arricchendo la conoscenza del concorrente, sia capace di fornirgli un vantaggio competitivo che trascenda la capacità e le esperienze del lavoratore acquisito. Diversamente opinando, attraverso la disciplina dell’illecito concorrenziale si finirebbe con l’attribuire un monopolio all’ex datore di lavoro sulle conoscenze e sull’esperienza dell’ex dipendente, in assenza di diritti di proprietà industriale su informazioni segrete e soprattutto mortificando i diritti costituzionalmente tutelati del lavoratore ex artt. 4, 35 e 36 Cost. a reperire sul mercato la miglior valorizzazione e remunerazione delle sue capacità professionali, senza che, nei limiti consentiti dalla legge per il contemperamento delle contrapposte esigenze, l’ex datore di lavoro si sia tutelato con la stipulazione di un patto di non concorrenza ex artt. 2125 e 2596 c.c. per la “fidelizzazione ultrattiva” del dipendente, assumendosi i costi necessari». Orientamento di recente confermato da Cass. civ., sez. VI, 3 febbraio 2022, n. 3454, (nt. 2). In senso simile App. Firenze, 21 ottobre 2020, (nt. 2); Trib. Torino, 15 novembre 2018, (nt. 2); Trib. Roma, 17 settembre 2021, (nt. 2).

[32] Non, quindi, nel senso tecnico-giuridico ad esso dato dalla definizione contenuta nell’art. 98, lett. a), c.p.i. e nell’art. 2, n. 1), lett. a) della direttiva 2016/943.

[33] C. Galli, (nt. 1), 122.

[34] C. Galli, (nt. 1), 115, il quale evidenzia come il diritto sul segreto verrà perso sia nel momento in cui l’informazione diviene «generalmente nota o facilmente accessibile» per effetto di attività di terzi che raggiungano autonomamente tale informazione e la divulghino, sia quando il legittimo detentore non si tutela, anzitutto contrattualmente, obbligando coloro che vengono in contatto con l’informazione a non divulgarla.

[35] La giurisprudenza è invece solita classificare le tipologie di misure di protezione secondo un diverso criterio. Un’opinione ricorrente è quella per cui il detentore deve proteggere i propri segreti commerciali applicando due tipologie di protezione, ossia una protezione fisica, assicurata da sistemi di protezione adeguati, e una protezione giuridica, assicurata da un’infor­mazione adeguata, data ai terzi che vengono in contatto con le informazioni, sul loro carattere riservato e sulla necessità che venga mantenuto tale: v. in questi termini Trib. Bologna, 27 maggio 2008, (nt. 8); Trib. Bologna, 25 ottobre 2017, (nt. 8); Trib. Brescia, 23 aprile 2021, (nt. 13). Questa classificazione non pare però soddisfacente perché incentrata non tanto sulle differenti tipologie di pericoli cui il segreto è esposto (come invece la classificazione proposta in testo), quanto sui differenti mezzi tecnici con cui il segreto può essere tutelato. La varietà dei mezzi tecnici di protezione opera infatti in maniera trasversale; sicché, come si vedrà nei prossimi paragrafi, il detentore del segreto può utilizzare misure di carattere fisico per proteggere il segreto tanto nei confronti delle persone non autorizzate, quanto nei confronti delle persone autorizzate; parimenti, il detentore del segreto può utilizzare misure di carattere giuridico per proteggere il segreto tanto nei confronti delle persone non autorizzate, quanto nei confronti delle persone autorizzate. Non sembra dunque una ricostruzione idonea a tracciare il percorso logico-giuridico che il detentore del segreto deve seguire per affrontare tutte le criticità e realizzare così una protezione adeguata.

[36] Cfr. M. Libertini, Le informazioni aziendali segrete, (nt. 1), 143 e 152 s.; Id., Le informazioni commerciali riservate, (nt. 1), 575. Cfr. M. Bertani, (nt. 1), 32, e P. Magnani, (nt. 1), 474 s., i quali anzi evidenziano come la disciplina del segreto commerciale rappresenti proprio un incentivo ad un certo tipo di rivelazione e di uso dell’informazione, giacché consente la condivisione di un’informazione senza privarsi di una sua tutela, mentre in mancanza di questa disciplina le imprese potrebbero essere indotte ad elaborare strategie inefficienti (potrebbero ad esempio essere meno disposte a concludere contratti con terze parti, qualora ciò implichi la divulgazione delle informazioni riservate).

[37] D. Sarti, (nt. 1); B. Franchini Stufler, (nt. 1), 108.

[38] V. Trib. Milano, 14 febbraio 2012, (nt. 8), che condivisibilmente ha giudicato insussistenti le misure di protezione prescritte dall’art. 98, lett. c), c.p.i. in un caso dove l’impren­ditore non aveva operato alcuna limitazione degli accessi al segreto anche all’interno della stessa impresa: per il tribunale, «erano cioè state prese le sole minime misure di sicurezza attuate contro possibili accessi ai dati da parte di soggetti esterni all’azienda [mentre] non è in particolare emerso alcun tipo di accorgimento tecnologico atto ad impedire o comunque controllare attività di appropriazione dei dati critici − attraverso estrazione di copia o trasferimento − da parte di soggetti non autorizzati, anche interni alla società». Cfr. anche A. Vanzetti, V. Di Cataldo, M.S. Spolidoro, (nt. 1), 498.

[39] Cfr. B. Franchini Stufler, (nt. 1), 108, per la quale la comunicazione di un segreto a terzi, per non comprometterne la tutela, deve essere «connessa alle esigenze imposte dall’at­tività di impresa, nel senso che deve porsi come necessaria o utile per il pieno sfruttamento delle conoscenze medesime da parte del titolare».

[40] Cfr. M. Libertini, Le informazioni commerciali riservate, (nt. 1), 571, il quale, nel­l’analizzare l’impatto della “rivoluzione digitale” sulla tutela dei segreti commerciali, per l’ap­punto osserva: «la tecnica digitale, anche se elabora continuamente misure di protezione dei dati sempre più efficienti, è intrinsecamente fragile in ordine alla protezione dei segreti, in quanto facilita enormemente la riproduzione di dati riservati e, con essa, la possibilità di appropriazione indebita dei medesimi da parte di chi ha una facoltà di accesso vincolata da obblighi di confidenzialità; accanto a ciò, rimane sempre latente la minaccia di accesso abusivo alle informazioni da parte di hacker, animati da diversi intenti e strategie».

[41] L. Mansani, (nt. 1), 218; G. Guglielmetti, (nt. 1), 129; B. Franchini Stufler, (nt. 1), 106 s., per la quale il legislatore richiede all’imprenditore «un aggiornamento delle misure poste a presidio della segretezza delle informazioni che sia al passo con i tempi, sia sotto il profilo tecnico-materiale, sia sotto quello giuridico».

[42] Cfr. L. Mansani, (nt. 1), 218; B. Franchini Stufler, (nt. 1), 106, per la quale «non pare possibile imporre all’imprenditore di adottare ogni misura disponibile e di fare ogni tipo di sforzo economico e non per raggiungere lo scopo [ossia la protezione del segreto, n.d.a.], ma l’effettiva ragionevolezza delle misure adottate va valutata di volta in volta in relazione al caso concreto. In particolare, si deve tener conto dell’esigibilità della misura in rapporto alla prevedibilità delle “vie di fuga” delle informazioni e dei costi necessari per porre in essere gli accorgimenti conservativi, costi che dovranno essere proporzionati ai vantaggi che derivano dal carattere riservato delle conoscenze, nel senso che non si potrà certo pretendere l’impiego di strumenti il costo dei quali è superiore ai vantaggi che l’imprenditore consegue per effetto dell’utilizzazione in via esclusiva di quei determinati segreti aziendali».

[43] In questo senso L. Mansani, (nt. 1), 218, e, se si è ben inteso, B. Franchini Stufler, (nt. 1), 107, secondo la quale «ai sensi dell’art. 98, comma primo, lett. c), c.p.i., l’imprenditore sarà tenuto ad adottare tutte quelle misure, atte a conservare la segretezza delle informazioni, che risultino di volta in volta esigibili in relazione ai costi, all’evoluzione tecnica e giuridica e alla prevedibilità delle violazioni».

[44] Cfr. D. Sarti, (nt. 1), il quale osserva come sia «ragionevole credere che l’ordinamento non voglia incentivare gli investimenti in spionaggio, né misurare l’efficienza delle imprese in base alla loro capacità di predisporre adeguate contromisure»; M. Libertini, Le informazioni aziendali segrete, (nt. 1), 156, secondo cui «la protezione delle informazioni aziendali riservate non può essere intesa come un premio eccezionale (o quasi) attribuito ad un’impresa particolarmente meritevole, ma è piuttosto una regola generale del gioco concorrenziale, che porta a disincentivare i comportamenti di chi tenda ad acquisire vantaggi competitivi in modo parassitario».

[45] Cfr. D. Sarti, (nt. 1), secondo cui si potrebbero riconoscere misure ragionevolmente adeguate a mantenere il segreto «a fronte di qualsiasi comportamento univocamente incompatibile con la volontà dell’imprenditore di rendere le informazioni accessibili al pubblico»; M. Libertini, Le informazioni commerciali riservate, (nt. 1), 575, secondo cui «appare più consono all’efficienza dei mercati che le informazioni aziendali siano protette in modo ampio, fino a che non siano propriamente “volgarizzate”, senza imporre agli interessati costi spropositati di protezione (né, per converso, costi sproporzionati di reverse engineering agli imitatori)». La giurisprudenza ha del resto reputato idonee misure di protezione la limitazione dell’accesso ad uffici e armadi mediante il rilascio delle chiavi alle sole persone autorizzate, la previsione di porzioni del server accessibili solo da persone autorizzate munite di apposite credenziali e password ovvero di apposita autorizzazione rilasciata da remoto, o l’adozione di sistemi di cifratura delle informazioni: v. App. Bologna, 19 maggio 2017, (nt. 8); Trib. Milano, 15 gennaio 2014, reperibile nella banca dati De Jure; Trib. Milano, 21 marzo 2014, reperibile nella banca dati De Jure; Trib. Venezia, 16 luglio 2015, (nt. 8); Trib. Milano, 10 maggio 2016, (nt. 8); Trib. Milano, 23 febbraio 2017, in Giur. ann. dir. ind., 2018, 311; Trib. Bologna, 13 ottobre 2017, ivi, 2018, 422, che ha ravvisato adeguate misure di protezione nel fatto che i dati segreti erano coperti da un sistema di video sorveglianza, nonché raccolti per aree cui ciascun dipendente poteva accedere utilizzando username e password personali fornite dall’azienda ma limitatamente ai documenti concernenti la propria area di competenza, senza poter, quindi, accedere ai documenti di settori diversi da quelli di propria competenza; Trib. Bologna, 12 novembre 2018, ivi, 2018, 1140; Trib. Torino, 15 novembre 2018, (nt. 2); Trib. Milano,14 gennaio 2019, (nt. 8); Trib. Milano, 29 gennaio 2019, reperibile nella banca dati De Jure; Trib. Ancona, 27 maggio 2019, (nt. 2); Trib. Brescia, 23 aprile 2021, (nt. 13), secondo cui «la segretezza non equivale ad una assoluta inaccessibilità (condizione, peraltro, di difficile se non impossibile verificazione), bensì presuppone che l’acquisizione delle informazioni segrete richieda da parte del terzo non autorizzato sforzi non indifferenti, con la conseguenza che non possono essere tutelate informazioni soggette, per loro natura ovvero in ragione di altre circostanze, a diffusione incontrollata o incontrollabile».

[46] Si pensi solo, ove si tratti di numeri, a quanto la dimensione strettamente mnemonica possa pregiudicare la completezza dell’informazione segreta.

[47] C. Galli, (nt. 1), 114 s., il quale evidenzia che «la corretta contrattualizzazione degli obblighi di riservatezza risulta dunque cruciale per la stessa configurazione e per una adeguata protezione dei segreti commerciali: e ciò non solo sul piano civilistico, ma anche su quello penalistico, posto che l’art. 623 c.p. […] s’imperna a sua volta sulla violazione di doveri, di fonte di regola contrattuale, a carico di un soggetto che dei segreti sia venuto a conoscenza appunto “per ragione del suo stato o ufficio, o della sua professione o arte” e quindi in sé legittimamente».

[48] Così, condivisibilmente, B. Franchini Stufler, (nt. 1), 132 s., per la quale l’ambito applicativo dell’art. 2105 c.c. è più ampio rispetto a quello delle disposizioni contenute negli artt. 98 e 99 c.p.i., perché comprensivo anche di informazioni che, pur non possedendo i requisiti richiesti da queste ultime norme, non sono di pubblico dominio e l’imprenditore ha interesse che non vengano rese note all’esterno a causa del potenziale pregiudizio che la loro conoscenza da parte dei terzi potrebbe arrecare all’esercizio dell’attività, quali, per esempio, le informazioni relative a difficoltà finanziarie, a punti deboli nella qualità della merce, al trattamento del personale, alla corrispondenza in genere.

[49] La necessità di una specifica pattuizione relativa agli obblighi di riservatezza del dipendente, contenuta nel più generale contratto di lavoro ovvero in una pattuizione distinta, è ravvisata anche dalla giurisprudenza: v. Trib. Bologna, 27 luglio 2015, (nt. 8); Trib. Bologna, 13 ottobre 2017, (nt. 45); Trib. Bologna, 12 novembre 2018, (nt. 45); Trib. Milano, 14 aprile 2019, (nt. 8). Indicativo il fatto che anche per l’Agenzia delle Entrate l’imprenditore non dimostra di avere adottato misure di protezione laddove si limiti ad un «generico richiamo all’obbligo di riservatezza che grava sui dipendenti ai sensi dell’articolo 2105 c.c.»: così Agenzia delle Entrate, circolare 11E del 7 aprile 2016, 34, emanata a proposito dell’accesso al regime del c.d. Patent box, all’epoca applicabile anche ai redditi derivanti dallo sfruttamento del know-how.

[50] C. Galli, (nt. 1), 121 s.

[51] Ci si deve però chiedere cosa accada qualora ad un soggetto venga consegnato un documento espressamente qualificato come riservato senza però che a monte questi abbia stipulato alcun accordo di riservatezza con il proprietario di tale documento. Va anzitutto escluso che la sola formula “riservato” (o simile) apposta sul documento possa essere intesa come accordo di riservatezza steso sinteticamente: l’accordo, infatti, essendo un contratto, ha struttura negoziale bilaterale, e va perciò sottoscritto anche dalla parte obbligata, la quale deve accettarne il contenuto (ossia, tutte le clausole). Sembra allora che la condivisione di un documento riservato con un terzo, al quale viene riferito il carattere riservato del documento ma non gli viene fatto sottoscrivere alcun accordo di riservatezza, integri una condotta inidonea a mantenere l’informa­zione segreta: il mantenimento del segreto, infatti, in questo caso si basa sulla fiducia riposta nel terzo, non già su un suo obbligo giuridico. L’inosservanza della riservatezza dichiarata unilateralmente rileverà perciò esclusivamente su altri piani, ad esempio nell’ambito del rapporto di lavoro in quanto violazione del generale dovere di fedeltà cui il dipendente è tenuto secondo l’art. 2105 c.c.

[52] Non sono pertanto del tutto condivisibili le conclusioni cui è giunto Trib. Bologna, 27 luglio 2015, (nt. 8), nella parte in cui ha ritenuto insussistenti le misure di protezione per il fatto che i (presunti) segreti erano contenuti in personal computer privato del dipendente con sua personale password di accesso, anziché nel sistema informatico aziendale direttamente gestibile e controllabile dalla società, sicché la società non era in grado di svolgere alcun controllo sull’operato del dipendente, e in particolare sul suo utilizzo dei dati e delle informazioni riservate. In simili evenienze, in realtà, deve ritenersi sufficiente che il dipendente abbia sottoscritto un puntuale accordo di riservatezza che delimiti precisamente l’uso che egli può fare dell’in­formazione segreta e sancisca per converso il divieto di qualunque diverso utilizzo o di divulgazioni non autorizzate. Del resto, nei casi esaminati in testo, quelli cioè di dipendenti o collaboratori che nell’esercizio delle loro mansioni sviluppano od elaborano nuovi segreti commerciali, può essere inevitabile (specie in caso di lavoro da remoto) che il segreto sia inizialmente nella disponibilità materiale soltanto di chi l’ha prodotto; la circostanza non dovrebbe però di per sé sola escludere la presenza di adeguate misure di protezione, laddove questo dipendente o collaboratore sia giuridicamente vincolato a rivelare il segreto al suo datore di lavoro e a non appropriarsene integrando un’utilizzazione o una rivelazione abusiva secondo l’art. 99 c.p.i.

[53] C. Galli, (nt. 1), 122.

[54] In questo senso la giurisprudenza, secondo la quale non sono tutelabili (a causa della mancanza del terzo requisito, ossia della mancata adozione di misure di protezione) informazioni che non siano sotto il controllo del titolare, ma nella disponibilità di un terzo a cui sia stato venduto un prodotto che incorpori le informazioni riservate senza alcun vincolo o impegno a mantenere la riservatezza sullo stesso e/o su specifici aspetti del suo modo di funzionamento (Trib. Bologna, 27 maggio 2008, (nt. 8); Trib. Bologna, 25 ottobre 2017, (nt. 8)).

[55] G. Guglielmetti, (nt. 1), 129; C. Galli, (nt. 1), 122.

[56] Non pare perciò sufficiente imporre un obbligo di adottare le misure di protezioni ragionevoli. Come visto sopra, infatti, la ragionevolezza potrebbe portare ad individuare un parametro di diligenza inferiore a quello che va invece imposto alla parte ricevente alla luce dei principi e delle norme in materia di adempimento delle obbligazioni.

[57] Cfr. C. Galli, (nt. 1), 118 ss., il quale evidenzia come «una durata limitata nel tempo di queste obbligazioni porta infatti inevitabilmente a due conseguenze alternative, potenzialmente l’una negativa e l’altra addirittura esiziale per il mantenimento del segreto: sotto il primo profilo, il fatto che il soggetto che è stato portato a conoscenza delle informazioni riservate sia assoggettato a divieti di divulgazione e di utilizzazione autonoma di esse per un tempo determinato porta come necessaria conseguenza che, alla scadenza di essi, questo soggetto diventi legittimo detentore indipendente delle informazioni stesse, acquisendo quindi il potere di disporne autonomamente, sfruttandole in proprio, elaborandole ed eventualmente concedendole in licenza a terzi; sotto il secondo, che ne rappresenta un corollario, questa autonoma disponibilità da parte del soggetto “ricevente” fa sì che questi possa anche decidere, lecitamente, di divulgarle, facendo quindi venire meno la protezione di esse. […] È dunque non solo legittimo, ma doveroso inserire sia all’interno di un autonomo accordo di segretezza, sia in un accordo di più ampia portata una clausola che imponga alla parte che riceve informazioni confidenziali, obblighi di segretezza e di limitazione d’uso sulle informazioni dotate dei requisiti di protezione di cui all’art. 98 c.p.i. che durino sino alla caduta in pubblico dominio di dette informazioni per fatti non imputabili alla parte ricevente». V. altresì Id., (nt. 23), 61 ss.

[58] Cfr. sempre C. Galli, (nt. 1), 118 s., per il quale «è strettamente necessaria, per la conservazione del diritto, l’adozione a tutela del segreto di obblighi contrattuali (di non divulgazione) che abbiano, potenzialmente, la medesima durata del diritto, e siano quindi a loro volta potenzialmente perpetui» (corsivo originale).

[59] C. Galli, (nt. 1), 122, il quale ritiene consigliabile il ricorso a penali, con l’avvertimento però di evitare generalizzazioni che potrebbero essere considerate mere “clausole di stile” e di non indicare importi manifestamente eccessivi in rapporto alla parte beneficiaria dell’obbligo, come suscettibili di essere ridotti anche d’ufficio dal giudice secondo quanto previsto dall’art. 1384 c.c.

[60] In ambito informatico, si parla di sistemi di logging per indicare sistemi di archiviazione dello storico degli accessi e delle operazioni effettuate dagli utenti su determinati file, cartelle o aree della rete.

[61] V. però sul punto M. Libertini, Le informazioni aziendali segrete, (nt. 1), 157: «la norma in esame protegge l’informazione se e in quanto sia ragionevolmente protetta nel momento in cui sorge la controversia. I fatti precedenti dovrebbero, in tale contesto, essere irrilevanti: se l’informazione è stata esposta, in passato, a pericolo, ma è rimasta di fatto segreta fino al momento dell’insorgere della controversia, non vedo ragione per negarle tutela attuale. Se invece è stata sottoposta a misure ferree, ma è ugualmente stata divulgata ed è divenuta di dominio pubblico, la protezione dev’essere negata, già per l’operare della disposizione del primo comma dell’art. 98. […] La protezione del segreto non viene meno, invece, quando l’informazione sia stata, per un certo periodo, inadeguatamente protetta, od anche sia stata illecitamente comunicata a terzi, ma il titolare sia stato in grado di riprenderne il controllo». Seguendo tuttavia la ricostruzione proposta sopra al par. 2, l’adozione delle misure di protezione è presupposto essenziale sia per il sorgere del diritto sul segreto commerciale, sia per la configurabilità di una sua acquisizione, utilizzazione o rivelazione abusiva, e deve perciò precedere simili condotte; sicché delle due l’una: se il detentore aveva adottato le misure di protezione, la loro violazione integrerà un’acquisizione abusiva; se invece non aveva adottato le misure di protezione, l’ac­quisizione dell’informazione dovrebbe ritenersi lecita perché non lesiva di alcun diritto sul segreto commerciale (mai sorto per mancanza del terzo requisito), e ciò seppur dovesse rimanere segreta anche a seguito di tale evento, non potendo rimediare una successiva instaurazione di misure di protezione (che al più potrebbe tutelare l’informazione da quel momento in avanti contro eventuali ulteriori tentativi di acquisizione non autorizzata).

[62] B. Franchini Stufler, (nt. 1), 107.

[63] C. Galli, (nt. 1), 122.

[64] Soprattutto per le piccole e medie imprese: P. Magnani, (nt. 1), 466 s. e 471.

[65] Cfr. M. Libertini, Le informazioni commerciali riservate, (nt. 1), 576, ad opinione del quale lo standard di prova richiesto a carico dell’attore dovrebbe essere posto a livello non molto alto e gli dovrebbe essere consentito di fare largo uso di presunzioni semplici, addossando invece al convenuto, in presenza di qualche indizio non labile, l’onere di provare le modalità di acquisizione autonoma dell’informazione utilizzata. Sulle specificità della prova in giudizio di informazioni contenute e protette con mezzi informatici, v. A. Giorgio, L’acquisizione forense delle prove in materia di violazione dei segreti commerciali, in C. Galli (a cura di), Il nuovo diritto del know-how e dei segreti commerciali, (nt. 1), 140 ss.