Segreti commerciali: il provvedimento del Garante per la Protezione dei Dati Personali
Il caso recentemente deciso dal nostro Garante origina da un reclamo presentato da un ex dipendente, che aveva esercitato il diritto di accesso ai propri dati personali, richiedendo alla società di cui era stato dipendente di “accedere a tutti i file e dati sotto qualsiasi forma contenenti dati personali inerenti il rapporto di lavoro e conservati nel personal computer di cui aveva la disponibilità”.
A tale richiesta era seguito un diniego da parte della società ex datrice di lavoro, che evidenziava i rischi che sarebbero derivati dalla divulgazione di “dati sensibili”, appartenenti al proprio patrimonio informativo.
Nonostante quanto rilevato dalla società, il Garante ha comminato a quest’ultima – accogliendo il reclamo dell’ex dipendente, che nel frattempo aveva precisato l’oggetto della propria richiesta, riferendola a propri dati personali (inerenti, in particolare, a precedenti rapporti lavorativi, fotografie personali e di vita familiare etc.) – una sanzione amministrativa pecuniaria di 10.000 Euro.
In sintesi, il Garante ha preliminarmente riconosciuto, sulla base di quanto disposto dall’art. 15, paragrafo 4 del GDPR, che il diritto di ottenere una copia dei dati possa essere legittimamente soggetto a delimitazioni, in concomitanza con altri diritti, tra cui il segreto aziendale.
Tuttavia, nel caso in questione, sono state, comunque, ribadite le indicazioni espresse nel Cons. 63 del GDPR, in base alle quali le situazioni di conflitto “non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni”.
Alla luce di quanto sopra, il Garante, nel proprio provvedimento, ha, pertanto, rilevato che debba essere il titolare del trattamento ad operare un bilanciamento tra i diritti contrapposti, adottando misure appropriate in grado di mitigare i rischi per i diritti e le libertà altrui, come la cancellazione delle informazioni eccedenti che non si riferiscono all’interessato, nel rispetto del principio di proporzionalità.
La tutela dei segreti commerciali: inquadramento
Come indicato nel paragrafo precedente, l’esercizio del diritto di accesso ai dati personali non deve confliggere con “i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale…”: ma cosa si intende per “segreti commerciali” secondo la disciplina italiana?
Il nostro Codice della Proprietà Industriale all’articolo 98 ne fornisce una definizione ampia, specificando che “per segreti commerciali si intendono le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore”.
Ciò implica che il patrimonio informativo dell’impresa è un asset di particolare valore, che, al suo interno, può contenere informazioni strategiche per l’impresa, che necessitano di essere adeguatamente individuate e gestite con le dovute cautele.
In sintesi, si può trattare di:
- informazioni ed esperienze sviluppate nella fase embrionale e preparatoria di un brevetto;
- processi e tecniche di fabbricazione (ad esempio, ricette, formule etc.);
- elenchi di fornitori e clienti;
- tecniche di marketing;
- politiche di prezzi e sconti.
In base alla normativa italiana, di derivazione euro unitaria, tali informazioni ed esperienze aziendali, rientranti nella definizione di segreto commerciale, sono tutelate, ove le stesse siano:
- segrete, nel senso che non siano nel loro insieme o nella configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore;
- abbiano valore economico in quanto segrete;
- siano sottoposte a misure ragionevolmente adeguate a mantenerle segrete.
Ciò implica che proprio, per il valore connesso a tali informazioni, l’imprenditore è tenuto a prestare particolare attenzione nell’individuazione e gestione delle stesse, adottando adeguate procedure e strumenti di protezione, in forza dei quali attivare i relativi presidi e disporre, all’occorrenza, delle tutele ex lege previste.
Nello specifico, dal punto di vista strettamente operativo – a titolo indicativo, fatti, comunque, salvi interventi ad hoc da porre in essere in considerazione delle necessarie personalizzazioni applicabili alla realtà aziendale di riferimento – tra le misure utili per la protezione del proprio patrimonio informativo l’imprenditore potrebbe adottare:
- procedure di classificazione e gestione delle informazioni aziendali;
- misure di protezione della sicurezza fisica e dell’ambiente;
- procedure e modelli organizzativi che regolamentino i flussi e i privilegi delle risorse coinvolte e il controllo degli accessi;
- procedure per la gestione dei beni e degli strumenti aziendali, attraverso le quali regolamentare, tra l’altro, gli accessi ai dispositivi IT, alle reti a ai sistemi IT, il relativo utilizzo e l’attribuzione e gestione delle credenziali;
- misure tecniche di sicurezza adeguate allo specifico contesto operativo (ad esempio, crittografia per gli archivi aziendali).
Nell’ottica dell’imprenditore e della necessaria attenzione da porre ai fini della tutela di asset aziendali di particolare valore strategico e commerciale, si ribadisce, pertanto, l’importanza che rivestono le misure di protezione del patrimonio informativo aziendale, tanto da indurre lo stesso legislatore – nell’ambito della Direttiva (UE) 2016/943 “sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti” – a prevedere espressamente all’articolo 11 che gli Stati membri assicurino che le competenti autorità giudiziarie, nel decidere in merito all’accoglimento o al rigetto della domanda e nel valutarne la proporzionalità, siano tenute a prendere in considerazione – tra le altre – le misure adottate per proteggere il segreto commerciale.
Segreti commerciali: qualche riflessione conclusiva in merito al caso deciso dal nostro Garante
La richiesta con cui, nel caso in questione, l’interessato ha esercitato il proprio diritto di accesso ci pare, francamente, formulata in maniera eccessivamente generica; con tutta probabilità, è proprio tale genericità che ha indotto l’impresa ad agire cautelativamente, opponendo all’interessato la necessità di tutela del proprio patrimonio informativo.
Non si vuole certo mancare di rispetto al legislatore euro-unitario, limitando o riducendo la portata di un principio basilare del GDPR, quale è il principio di accountability, che prevede una precisa responsabilità in capo al titolare del trattamento, nel rispettare scrupolosamente i principi e le norme del GDPR, comprovandone l’attuazione.
Tuttavia, ragionando in un’ottica complessiva e focalizzando l’attenzione su una relazione tra “titolari” e “interessati”, che a nostro parere dovrebbe “concorrere” – pur nel rispetto degli specifici e diversi ruoli – alla tutela dei dati personali, anche agli interessati dovrebbe essere richiesto un comportamento responsabile.
In sintesi, anche gli interessati, che agiscono per la tutela dei rispettivi diritti, dovrebbero operare responsabilmente, comprovando e circostanziando le rispettive richieste, ciò, peraltro, anche alla luce del generale principio dell’onere della prova.
Infine, rileviamo che alcune indicazioni di carattere operativo – come quella di cancellare i dati eccedenti – dovrebbero, comunque, tenere conto del contesto di riferimento, in un’ottica di ragionevolezza: in taluni casi, infatti – ad esempio, in presenza di un quantitativo considerevole di dati e informazioni – può risultare spropositato, richiedendo un impegno eccessivo all’imprenditore, operare la cancellazione di tutti i dati eccedenti.
