Protezione degli asset aziendali

tra sicurezza, privacy e

compliance [estratto]

Avv. Andrea Maggipinto, ICT & IP specialist (www.maggipinto.eu)

Ing. Igor Serraino, PM & IT consultant (www.serraino.it)

Agenda

Livelli di protezione e controllo:

legale (norme imperative)

contrattuale (misure volontarie)

organizzativo (sistema qualità)

tecnologico (sicurezza e best practices)

Casi d’uso

Protezione e controllo dell’informazione

«Sistema» aziendale:

tutelare riservatezza e confidenzialità

garantire che le informazioni siano sempre disponibili

alle persone autorizzate

evitare che persone non autorizzate entrino in

possesso di informazioni riservate

allinearsi alle best practices e agli standard

rispettare la normativa vigente

Tutela legale dei beni intangibili

La conoscenza è valore!

Segreto industriale: informazioni che devono rimanere

riservate

Know-How: conoscenze pratiche e saperi

Banche dati: insieme di dati/archivi collegati secondo un

modello logico

Invenzioni: conoscenza di nuovi rapporti causali per

l’ottenimento di un certo risultato riproducibile

Brevetto: il trovato o il processo innovativo suscettibile di

applicazione industriale

Tutela legale del patrimonio informativo

Vs. dipendenti

Art. 2105 Cod. Civ. (Obbligo di fedeltà): il prestatore di

lavoro non deve trattare affari, per conto proprio o di

terzi, in concorrenza con l'imprenditore, né divulgare

notizie attinenti all'organizzazione e ai metodi di

produzione dell'impresa, o farne uso in modo da poter

recare ad essa pregiudizio

Vs. ex collaboratori e concorrenti

Art. 2598 Cod. Civ. (Atti di concorrenza sleale): 1. atti

confusori; 2. denigrazione e appropriazione di pregi; 3.

atti contrari alla correttezza professionale

Il c.d. «Know How»

“Patrimonio di conoscenze pratiche non brevettate derivanti

da esperienze e da prove” (tecnologico, commerciale,

finanziario, strategico)

Reg. 772/04/CE (già Reg. n.96/240/CE):

segretezza

sostanzialità

identificabilità

Valore economico negoziazione

Informazioni (segrete) come bene aziendale

Il Codice della Proprietà Industriale (artt. 98 e 99 del

D.Lgs. 30/2005) vieta la divulgazione a terzi di

informazioni necessarie e utili per il processo produttivo,

distributivo o organizzativo di un’attività economica.

Tali informazioni, per essere protette dall’Ordinamento,

devono soddisfare certi requisiti:

segretezza

valore economico

“segregazione”

Quali informazioni sono protette?

le informazioni aziendali (organizzative, finanziarie, di

gestione, di marketing)

le esperienze tecnico-industriali e quelle commerciali

i dati relativi a prove o altri segreti la cui elaborazione

comporti un considerevole impegno economico e di

tempo

Assume rilevanza non tanto l'informazione in sé e per sé,

ma il complesso di informazioni o la loro specifica

configurazione e combinazione

Condizione di accesso alla tutela

Onere di adottare misure “ragionevolmente adeguate” da

parte del soggetto al cui legittimo controllo le informazioni

sono soggette (titolare dell'impresa).

Valutare in concreto e graduare la scelta:

condizioni di conservazione/detenzione delle informazioni

modalità di utilizzo

soggetti che possono accedere alle informazioni

progresso/adeguamento tecnologico

altre misure di natura organizzativa o tecnologica già

adottate (misure di sicurezza privacy, policies aziendali,

ecc.)

misure di natura contrattuale

Tutela contrattuale

Misura preventiva: patto di non concorrenza e non-

sollicitation («Key People»)

“Il patto con il quale si limita lo svolgimento dell'attività del

prestatore di lavoro, per il tempo successivo alla

cessazione del contratto, è nullo (i) se non risulta da atto

scritto, (ii) se non è pattuito un corrispettivo a favore del

prestatore di lavoro e (iii) se il vincolo non è contenuto

entro determinati limiti di oggetto, di tempo e di luogo. La

durata del vincolo non può essere superiore a cinque anni,

se si tratta di dirigenti, e a tre anni negli altri casi. Se è

pattuita una durata maggiore, essa si riduce nella misura

suindicata” (art. 2125 Cod. Civ.)

Tutela contrattuale

Misura preventiva: patto di riservatezza / accordo di non

divulgazione / non-disclosure agreement («Key People»)

Contenuto:

definizione di “informazioni riservate”

durata

penali (i.e. sanzioni)

garanzia anche per fatto e obbligazione di terzo

(art. 1381 c.c.)

giudice competente e legge applicabile

Azioni a difesa

Azione giudiziaria ordinaria

provvedimenti che possono essere richiesti: inibitoria /

risarcimento del danno / pubblicazione della sentenza /

retroversione degli utili

Azione giudiziaria cautelare

fumus boni juris

periculum in mora

provvedimenti: descrizione / inibitoria / sequestro

Sanzioni penali (art. 513 e art. 622 Cod. Pen.)

Un caso significativo

Fattispecie:

Impresa di comunicazione editoriale

Settore «peculiare»

Patrimonio aziendale composto da (A) informazioni

segrete e know-how; (B) banche di dati

Il piano illecito

Sottrazione e utilizzo delle informazioni e delle banche dati

archiviazione e condivisione sui computer aziendali

utilizzo per newsletter

liste di distribuzione: soggetto terzo coinvolto

Storno di dipendenti

sollecitazione alle dimissioni

assunzione e ricerca della loro collaborazione

Notizie denigratorie pubblicate su giornali

Descrizione giudiziale

Ai sensi degli artt. 161 della legge 633/1941 (LDA) e 129

del D.Lgs. 30/2005 (CPI), il titolare dei diritti può chiedere

la descrizione degli "oggetti costituenti violazione di tale

diritto, nonché dei mezzi adibiti alla produzione dei

medesimi e degli elementi di prova concernenti la

denunciata violazione e la sua entità" (art. 129 CPI).

finalità: acquisire la prova dell’illecito ed evitare che in

futuro si possa sostenere di non avere estratto e/o

duplicato e/o riprodotto e/o rivelato e/o acquisito e/o

detenuto e/o comunque utilizzato le informazioni, il

know-how e le banche dati

Next step: sequestro e inibitoria

Sequestro dei dati (ai sensi e per gli effetti di cui agli art.

129 CPI e 161 LDA)

Finalità: evitare che le Informazioni e le Banche di dati

rimanessero di fatto nella disponibilità dei resistenti

Inibitoria all’utilizzo delle Informazioni e delle Banche di

dati (ai sensi e per gli effetti di cui agli artt. 131 CPI e

156 LDA)

Inibitoria all’impiego dei dipendenti stornati (ex art. 700

Cod. Proc. Civ., art. 2598 Cod. Civ.).

Pubblicazione del provvedimento

avvocato@maggipinto.eu