CSIG protezione delle informazioni aziendali [I parte]
-
Upload
andrea-maggipinto-1k -
Category
Documents
-
view
196 -
download
0
description
Transcript of CSIG protezione delle informazioni aziendali [I parte]
Avv. Andrea Maggipinto
www.studiomra.it
Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
Ing. Igor Serraino
www.serraino.it
Avv. Andrea Maggipinto
www.studiomra.it
Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
Avv. Andrea Maggipinto
www.studiomra.it
Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
Ing. Igor Serraino
www.serraino.it
Avv. Andrea Maggipinto
www.studiomra.it
Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
Ing. Igor Serraino
www.serraino.it
Avv. Andrea Maggipinto
www.studiomra.it
Agenda
Livelli di protezione e controllo
� legale: contrattuale e giudiziale
� organizzativo e tecnologico: sistema qualità
Casi d’uso e riflessioni conclusive
[email protected] - www.maggipinto.org
Protezione e controllo dell’informazione
Sistema organizzativo aziendale tale da:
• garantire che le informazioni siano disponibili alle persone autorizzate
• evitare che persone non autorizzate entrino in possesso di informazioni riservate
• tutelare riservatezza e confidenzialità• allinearsi alle best practices e agli standard• soddisfare la normativa vigente
[email protected] - www.maggipinto.org
Livello legale di protezione e controllo
� Tutela legale
� Tutela contrattuale
� Azioni a difesa
[email protected] - www.maggipinto.org
Tutela legale dei beni intangibili
La conoscenza è valore�Segreto: informazione su fatti o cose che devono
rimanere riservati (relazione soggetto-conoscenza)�Know-How: conoscenze pratiche e saperi�Banche dati: insieme di dati/archivi collegati secondo
un modello logico� Invenzioni: conoscenza di nuovi rapporti causali per
l’ottenimento di un certo risultato riproducibile�Brevetto: il trovato o il processo innovativo suscettibile
di applicazione industriale
[email protected] - www.maggipinto.org
Tutela legale del patrimonio informativo
Dipendenti• Art. 2105 Cod. Civ. (Obbligo di fedeltà): il prestatore di
lavoro non deve trattare affari, per conto proprio o di terzi, in concorrenza con l'imprenditore, né divulgare notizie attinenti all'organizzazione e ai metodi di produzione dell'impresa, o farne uso in modo da poter recare ad essa pregiudizio
Ex collaboratori e concorrenti• Art. 2598 Cod. Civ. (Atti di concorrenza sleale): Atti
confusori, Denigrazione e appropriazione di pregi, Atti contrari alla correttezza professionale
[email protected] - www.maggipinto.org
Informazioni (segrete) come bene aziendale
Il Codice della Proprietà Industriale (artt. 98 e 99 del D.Lgs. 30/2005) vieta la divulgazione a terzi di informazioni necessarie e utili per il processo produttivo, distributivo o organizzativo di un’attivitàeconomica.
Le informazioni però devono soddisfare certi requisiti:• segretezza• valore economico• sottoposte a “segregazione”
[email protected] - www.maggipinto.org
Informazioni segrete
Art. 98 CPI (Oggetto della tutela)1. Costituiscono oggetto di tutela le informazioni aziendali e le
esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore, ove tali informazioni:a) siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore;b) abbiano valore economico in quanto segrete;c) siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete […]
[email protected] - www.maggipinto.org
Quali informazioni sono protette?
� le informazioni aziendali (organizzative, finanziarie, di gestione, di marketing)
� le esperienze tecnico-industriali e quelle commerciali� i dati relativi a prove o altri segreti la cui elaborazione
comporti un considerevole impegno economico e di tempo
Assume rilevanza non tanto l'informazione in sé e per sé, ma il complesso di informazioni o la loro specifica configurazione e combinazione
[email protected] - www.maggipinto.org
Know How
“Patrimonio di conoscenze pratiche non brevettate derivanti da esperienze e da prove” (tecnologico, commerciale, finanziario, strategico)
Reg. 772/04/CE (già Reg. n.96/240/CE):
• segretezza• sostanzialità• identificabilità
Valore economico: negoziazione
[email protected] - www.maggipinto.org
Condizione di accesso alla tutela
Onere di adottare misure “ragionevolmente adeguate” da parte del soggetto al cui legittimo controllo le informazioni sono soggette (titolare dell'impresa).
Valutare in concreto e graduare la scelta:• condizioni di conservazione/detenzione delle informazioni• modalità di utilizzo• soggetti che possono accedere alle informazioni• progresso tecnologico• altre misure di natura organizzativa o tecnologica già
adottate (misure di sicurezza privacy, policies aziendali, ecc.)
• misure di natura contrattuale
[email protected] - www.maggipinto.org
Tutela contrattuale
Misura preventiva: patto di non concorrenza e non-sollicitation(Key People?)
Da ricordare: “Il patto con il quale si limita lo svolgimento dell'attività del prestatore di lavoro, per il tempo successivo alla cessazione del contratto, è nullo (i) se non risulta da atto scritto, (ii) se non è pattuito un corrispettivo a favore del prestatore di lavoro e (iii) se il vincolo non è contenuto entro determinati limiti di oggetto, di tempo e di luogo. La durata del vincolo non può essere superiore a cinque anni, se si tratta di dirigenti, e a tre anni negli altri casi. Se èpattuita una durata maggiore, essa si riduce nella misura suindicata” (art. 2125 Cod. Civ.)
[email protected] - www.maggipinto.org
Tutela contrattuale
Misura preventiva: patto di riservatezza / accordo di non divulgazione / non-disclosure agreement (Key People?)
� “informazioni riservate”� durata� penali � garanzia anche per fatto e obbligazione di terzo
(art. 1381 c.c.)� giudice competente e legge applicabile
[email protected] - www.maggipinto.org
Azioni a difesa
Azione giudiziaria ordinaria• provvedimenti: inibitoria / risarcimento del danno /
pubblicazione della sentenza / retroversione degli utili
Azione giudiziaria cautelare• fumus boni juris• periculum in mora• provvedimenti: descrizione / inibitoria / sequestro
Sanzioni penali (art. 513 e art. 622 Cod. Pen.)
[email protected] - www.maggipinto.org
Onere della prova
Principio generale di cui all’art. 2697 Cod. Civ.
Chi agisce in giudizio per tutelare le proprie informazioni da atti illeciti di terzi deve provare – ex artt. 98 e 99 CPI – la sussistenza delle tre condizioni per l’accesso alla tutela (lo ricorda il Tribunale di Bologna 4.10.2010)
[email protected] - www.maggipinto.org
Un caso significativo
Fattispecie:
� Impresa� Settore peculiare� Patrimonio aziendale composto da (A) informazioni
segrete e know-how; (B) banche di dati
[email protected] - www.maggipinto.org
Il piano illecito
Sottrazione e utilizzo delle informazioni e delle banche dati- archiviazione e condivisione sui computer aziendali- utilizzo per newsletter- liste di distribuzione: soggetto terzo coinvolto
Storno di dipendenti- sollecitazione alle dimissioni- assunzione e ricerca della loro collaborazione
[email protected] - www.maggipinto.org
Descrizione giudiziale
Ai sensi degli artt. 161 della legge 633/1941 (LDA) e 129 del D.Lgs. 30/2005 (CPI)
• il titolare dei diritti può chiedere la descrizione degli "oggetti costituenti violazione di tale diritto, nonché dei mezzi adibiti alla produzione dei medesimi e degli elementi di prova concernenti la denunciata violazione e la sua entità" (art. 129 CPI).
• finalità: acquisire la prova dell’illecito ed evitare che in futuro si possa sostenere di non avere estratto e/o duplicato e/o riprodotto e/o rivelato e/o acquisito e/o detenuto e/o comunque utilizzato le informazioni, il know-how e le banche dati
[email protected] - www.maggipinto.org
Onere probatorio
E’ stato necessario provare che le informazioni possedevano le tre caratteristiche richieste per la loro tutela ai sensi e per gli effetti di cui agli artt. 98 e 99 CPI
(i) segretezza• non sono note agli altri operatori concorrenti, né sono
liberamente accessibili. • non è possibile reperire (neppure una parte sostanziale
delle informazioni) altrove, per esempio attraverso una ricerca in archivi cartacei, su pagine bianche, online, su siti associativi, social network, nelle banche dati della camera di commercio o creditizie
[email protected] - www.maggipinto.org
Titolo della slide
(ii) valore economico (proprio perché non sono note néaccessibili ai concorrenti)
• La raccolta e la gestione delle Informazioni è costata anni di notevoli investimenti, impegno e spese; le informazioni consentirebbero a chi ne entrasse in possesso di ricavare elementi determinanti per realizzare e proporre prodotti e servizi magari a condizioni più convenienti, o comunque mirati a una clientela già faticosamente curata e selezionata, risparmiando così tempi e costi significativi per l’autonoma creazione del proprio “portafoglio”
[email protected] - www.maggipinto.org
Titolo della slide
(iii) sono sottoposte a idonee misure a mantenerle segrete
• Misure di sicurezza (Documenti Programmatici ex d.lgs. 196/2003, Manuali sulla sicurezza, clausole contrattuali)
• l’accesso di ciascun utente può avvenire solo attraverso un processo di autenticazione protetto da password
• il server dell’azienda non è accessibile in remoto e la rete è comunque protetta da firewall (hardware e software) di ultimissima generazione e in costante aggiornamento
[email protected] - www.maggipinto.org
In cosa consiste
Descrizione dei file in formato elettronico presenti sul server,sui computer, su qualunque supporto, come Cd-Rom, DVD, chiavette USB e altro, nonché delle agende e delle rubriche, anche elettroniche, degli elenchi delle telefonate, della corrispondenza, di tabulati e/o elenchi, delle schede clienti, del materiale commerciale e promozionale e comunque di tutta la documentazione e/o i file relativi al titolare dei diritti violati, nonché la descrizione della documentazione commerciale e contabile relativa all’utilizzazione delle Informazioni, del know-how e delle banche di dati, anche al fine di individuare se vi siano altri soggetti coinvolti nell'illecito.
[email protected] - www.maggipinto.org
Esito della descrizione
Il CTU nominato dal Tribunale e l’Ufficiale Giudiziario competente, nel corso della descrizione, hanno trovato sui computer e sul server della societàconcorrente una massiccia quantità di dati pertinenti alla controversia
Il tutto è stato acquisito su DVD sigillato, custodito in cancelleria e inizialmente non accessibile alle parti.
[email protected] - www.maggipinto.org
Next step: sequestro e inibitoria
Sequestro dei dati (ai sensi e per gli effetti di cui agli art. 129 CPI e 161 LDA)
• Finalità: evitare che le Informazioni e le Banche di dati rimanessero di fatto nella disponibilità del concorrente
Inibitoria all’utilizzo delle Informazioni e delle Banche di dati (ai sensi e per gli effetti di cui agli artt. 131 CPI e 156 LDA)
Inibitoria all’impiego dei dipendenti stornati (ex art. 700 Cod. Proc. Civ., art. 2598 Cod. Civ.).
Pubblicazione del provvedimento
[email protected] - www.maggipinto.org