Il 22 giugno del 2018 è entrato in vigore in Italia il D.Lgs. 63/2018, il quale ha dato attuazione a livello nazionale alla Direttiva (UE) 2016/943, avente ad oggetto la protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione degli illeciti.
Tale direttiva si inserisce in un programma di respiro europeo di armonizzazione del diritto industriale, con particolare riferimento alla tutela delle informazioni riservate e alle misure di sicurezza da adottare, materia di rilevanza strategica sotto il profilo della competizione fra imprese, nella quale si registrava, precedentemente alla riforma, una rilevante frammentazione giuridica nei diversi ordinamenti domestici. In quest’ottica è interessante analizzare anche il rapporto con la tematica della protezione dei dati alla luce del GDPR.
Indice degli argomenti
La normativa
Nel recepire i principi enucleati dal legislatore europeo, il D.Lgs. 63/2018 ha emendato, fra gli altri, l’art. 98 c.p.i., il quale, conformandosi alla terminologia utilizzata a livello internazionale, parla ora espressamente di “segreti commerciali” (trade secrets) e non più di “informazioni aziendali segrete”, intendendosi con tale locuzione “le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore”. Secondo l’opinione prevalente, i segreti commerciali comprendono quattro categorie di informazioni: i segreti commerciali classici (si pensi alla formula della Coca Cola), le informazioni relative a progetti tecnici o commerciali determinati, le informazioni storiche organizzate (quali ad esempio liste di clienti e fornitori) e il know-how.
Affinché possano essere tutelate giuridicamente, la norma prevede che tali informazioni debbano avere tre requisiti, rimasti immutati a seguito della riforma. In tal senso, occorre che le informazioni:
- Siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore;
- Abbiano valore economico in quanto segrete;
- Siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.
Per quanto qui di interesse, il requisito previsto alla lettera c), relativo alle misure ragionevolmente adeguate a mantenere le informazioni segrete, assume significativa rilevanza sistematica nel periodo attuale, ove il tema della sicurezza, e in particolare della sicurezza informatica, sta progressivamente acquisendo un ruolo centrale nell’agenda del legislatore, soprattutto europeo.
I precedenti in Italia
La giurisprudenza italiana, nelle pronunce più recenti, con riferimento al tema della tutela del segreto commerciale, ha confermato che non è necessario adottare le misure di protezione massima consentite dalla tecnica, ritenendo sufficiente (i) che venga adottata una protezione che potremmo definire ragionevole e (ii) che tale protezione sia idonea a rendere un ipotetico procedimento di reverse engineering come “non facile per gli esperti del settore” (si veda, ad esempio, Corte D’Appello Torino, 19 maggio 2017).
Nel caso di specie, in particolare, sotto il profilo dell’adeguatezza delle misure, la Corte ha ritenuto sussistere le misure ragionevolmente adeguate con riferimento ad un software, il quale, pur non essendo stato sottoposto a misure di crittografia che ne rendessero non intellegibile il contenuto, impiegava un formato di archiviazione proprietario, ossia per usare le parole del provvedimento, utilizzava “un formato di file di cui non sono note le specifiche pubbliche e di cui pertanto, a differenze del caso di formato aperto, non è nota e diffusa pubblicamente la specifica di realizzazione”, il quale, secondo il consulente tecnico nominato dal Giudice, era ideato in modo tale che “i record della parte geometrica del file sono di lunghezza costante, mentre quelli della parte relativa ai dati tecnologici sono di lunghezza variabile e i codici utilizzati per identificare le tipologie di profili nel primo gruppo sono reimpiegati, ma con significato differente, nel secondo gruppo”, rendendo esponenzialmente difficoltosa l’attività di interpretazione e comprensione dei contenuti.
Sotto il profilo della possibilità di risalire ai file attraverso una procedura di reverse engineering, la Corte, pur ritenendo astrattamente possibile eseguire nel caso di specie tale procedimento, ha concluso nel senso di qualificare l’operazione come non facile per gli operatori del settore, anche alla luce del fatto che la società convenuta non aveva fornito alcuna prova in tal senso, qualificando pertanto le informazioni quale segreto commerciale ai sensi dell’art. 98 c.p.i. Se, in senso opposto, la società convenuta fosse riuscita a dimostrare di avere conseguito in proprio le informazioni segretate, come previsto dall’art. 99, primo comma, c.p.i., sarebbe venuta meno l’illiceità dell’acquisizione del segreto commerciale.
La protezione dei dati personali
Come si è visto, con l’adozione della Direttiva (UE) 2016/943, il legislatore europeo, ai fini della tutela dei segreti commerciali, ha attribuito decisiva rilevanza all’adozione di adeguate misure di sicurezza. Tale provvedimento normativo non è tuttavia l’unico, nel recente passato, ad essersi occupato di tale tema. A tal proposito, si pensi agli obblighi imposti in capo ai titolari e ai responsabili del trattamento dall’art. 32 del GDPR, il quale impone agli stessi, tenuto conto dello stato dell’arte e dei costi di attuazione, di mettere in atto misure tecniche e organizzative adeguate “a mantenere un livello di sicurezza adeguato al rischio”.
La prescrizione circa l’adozione di misure (sia tecniche che organizzative) di sicurezza adeguate, risulta quindi, come si è visto, essere presente in entrambi i testi normativi (codice della proprietà industriale, nella versione vigente a seguito del recepimento della Direttiva (UE) 2016/643 e Regolamento (UE) 2016/679), seppure essa sia stata concepita in ottiche e per finalità non del tutto sovrapponibili. Da un lato, nel Regolamento (UE) 2016/679, l’adozione di misure adeguate è un obbligo giuridico per chi tratta dati personali, e costituisce, sotto un profilo pratico, un adempimento da realizzare per essere compliant rispetto ad una disposizione normativa. Esso assume in questo senso un connotato che si potrebbe definire passivo: quale titolare o responsabile del trattamento devo individuare le misure adeguate e realizzarle per rispettare una norma e non essere passibile di essere sanzionato (tale visione è consapevolmente riduttiva ma attualmente realistica, poiché troppo spesso gli operatori economici percepiscono la privacy come una spesa evitabile o comunque da contenere il più possibile e non come una grande opportunità, oltre che un elemento attraverso il quale realizzare un vantaggio competitivo nel mercato).
D’altro lato, ai fini della tutela dei segreti commerciali previsti dall’art. 98 c.p.i., l’adozione delle misure di sicurezza è un requisito invece di carattere positivo. Essa è in questo senso un accorgimento che un’impresa deve aver posto in essere, e che deve essere in grado di dimostrare di aver realizzato, per potere, a monte, invocare una tutela giuridica a proprio favore: in altre parole, se non dimostro di avere sottoposto le mie informazioni a misure di sicurezza adeguate a mantenerle segrete, tali informazioni non costituiranno un segreto commerciale sotto il profilo giuridico e non potrò conseguentemente azionare le relative tutele (non avrò, ad esempio, il diritto di ottenere una pronuncia che vieti a terzi di acquisirle, rivelarle o utilizzarle ai sensi dell’art. 99 c.p.i.: si veda, ad esempio, Tribunale di Bologna, 27 luglio 2015).
Conclusione
Ciò che emerge, al netto delle differenze concettuali appena esposte, è una crescente attenzione del mondo del diritto nei confronti delle misure di sicurezza, in particolare informatica.
È pertanto auspicabile che il tema della cyber security inizi ad essere seriamente considerato dalle imprese non solamente nell’ottica (decisamente riduttiva) di spesa funzionale al rispetto delle norme, ma anche (e verrebbe da dire più propriamente), come si è visto, quale investimento funzionale alla tutela dei propri diritti.