Avv. Alberto Camusso
Partner Studio Legale Jacobacci
La crescente necessità delle imprese di tutelare l’innovazione, in quanto motore di crescita e asset strategico, è ormai evidente. In questo ambito, si sta affermando una più specifica esigenza: quello di accrescere e preservare, rispetto a minacce interne ed esterne, il proprio patrimonio immateriale di competenze, conoscenze ed informazioni riservate, non di pubblico dominio ed in grado di conferire un vantaggio competitivo, e che non siano oggetto di tutela brevettuale.
Si tratta del fenomeno del know how[1], o meglio della categoria dei trade secrets (segreti commerciali, nella dizione adottata nel nostro ordinamento), che per definizione ormai uniforme in Europa e nei principali ordinamenti del mondo ricomprende “le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore ove tali informazioni: (a) siano segrete, nel senso che non siano nel loro insieme, o nella precisa configurazione a combinazione dei loro elementi, generalmente noti o facilmente accessibili agli esperti ed agli operatori del settore, (b) abbiano valore economico in quanto segrete, (c) siano sottoposte, da parte delle persone di cui al cui legittimo controllo sono soggette, a misure da ragionevolmente adeguate a mantenerle segrete” (art. 98 c.p.i., come modificato in attuazione della Direttiva UE 2016/943).
La crescente rilevanza di questo tema per le imprese italiane emerge da uno studio assai pregevole condotto nel 2023 dall’EUIPO (European Union Intellectual Property Office), “Trade Secrets Litigation Trends in the EU”, che mostra non solo che l’Italia è al primo posto in Europa per numero di cause in questo settore (oltre 150 casi su un totale di 695, in un periodo di 5 anni), ma anche che il success rate dei casi recensiti in Europa – cioè il numero di casi in cui chi ha agito per la tutela del proprio affermato know how ha ottenuto una decisione favorevole – è del 27%.
Numeri interessanti, dietro ai quali si celano ulteriori dati di esperienza: le situazioni che potrebbero potenzialmente sfociare in simili contenziosi sono quasi all’ordine del giorno, ma spesso la difficoltà di “provare il proprio caso” (per poter rientrare in quella percentuale di esito favorevole, meno di un terzo del totale dei casi) è motivo di desistenza o di rinuncia.
Dunque la tutela del know how, fino a pochi anni fa relegata a tema di nicchia, per addetti ai lavori e per alcune, poche, aziende, è invece un tema attualissimo e trasversale, perché riguarda tutte le imprese manifatturiere nei più diversi settori industriali; ma è anche tema che appare ancora sottovalutato, quanto alla necessità di soddisfare pienamente i requisiti di legge per la protezione dei propri segreti – elemento costituivo ed imprescindibile della fattispecie.
Di requisiti sopra ricordati (segretezza; valore economico; e adozione di misure di salvaguardia della segretezza), forse proprio il terzo è quello che pone maggiori difficoltà nella prassi applicativa, come peraltro confermato anche dal predetto studio dell’EUIPO, che lo individua come la seconda causa più frequente dell’insuccesso delle azioni giudiziarie promosse a tutela dei segreti commerciali. Quali sono dunque queste misure adeguate al mantenimento della segretezza? E come può l’impresa dotarsene, tenendo presente le proprie quotidiane dinamiche operative? È utile al riguardo distinguere due categorie di misure, a seconda che siano destinate a trovare applicazione all’interno e all’esterno dell’organizzazione aziendale. Un primo ordine di misure necessarie a soddisfare il requisito di cui alla lett. c) sono quelle cosiddette intra muros (o endoaziendali), cioè rivolte nei confronti delle persone che collaborano o hanno collaborato (in qualità di dipendenti o altro titolo) con l’imprenditore e che per questo sono necessariamente depositari delle conoscenze riservate.
Come è noto, la tutela dei segreti commerciali in costanza del rapporto di lavoro subordinato è assunta come obbligo di fonte contrattuale, rientrando nel dovere di fedeltà imposto dall’art. 2105 del codice civile; del pari, nel periodo successivo alla cessazione del rapporto di lavoro subordinato, la tutela del segreto può rappresentare un obbligo contrattuale quando sia stipulato un patto di non concorrenza ex art. 2125 cod. civ.; ma altre misure vengono qui in considerazione.
Anzitutto riveste un ruolo fondamentale l’inserimento di idonee clausole di riservatezza all’interno dei contratti dei dipendenti o collaboratori aziendali. In tutti i casi in cui l’accordo di riservatezza è stipulato separatamente e in autonomia dal contratto principale di dipendenza, si deve prestare una particolare attenzione a evidenziare la causa degli obblighi che vengono assunti, così come alla sopravvivenza degli stessi alla cessazione del rapporto di lavoro.
L’accordo di riservatezza integra e meglio specifica quanto già previsto dalla disciplina legale all’art. 2105 c.c.[2], vietando specifici comportamenti rischiosi o facilitando la prova delle eventuali violazioni, per esempio disciplinando l’uso degli strumenti informatici di comunicazione in dotazione al dipendente. In aggiunta, risulta particolarmente opportuno specificare le tipologie di informazioni sottoposte a vincoli di confidenzialità, avendo anzi la giurisprudenza sottolineato come la destinazione al segreto (naturalmente su una base oggettiva, non bastando la volontà delle parti a trasformare in segreto ciò che è pubblico) ed il fatto che “il titolare delle informazioni renda edotti i propri dipendenti e i propri collaboratori della natura delle informazioni e della necessità di mantenere il segreto può essere considerato nel novero dei fatti costitutivi del diritto, rientrando tra le misure idonee a garantire la riservatezza” (Trib. Bologna, 9 febbraio 2010, in Dejure).
È poi opportuno che nell’ambito delle procedure di archiviazione digitali solo i dipendenti che in ragione delle specifiche mansioni svolte risultino in possesso delle credenziali possono accedere a tali supporti, e che l’accesso ai computer sia protetto in modo sistematico ed efficace, attraverso l’utilizzo di apposite password, magari di più livelli in modo da selezionare gli accessi “per materia”, e periodicamente aggiornate. In questo senso si è espressa anche la giurisprudenza affermando che “ai fini degli artt. 98 e 99 c.p.i. il carattere segreto delle informazioni si evince dal fatto che esse siano custodite in archivi informatici accessibili ai dipendenti e collaboratori individuati e dotati di password”. Su questo punto, la giurisprudenza si è mostrata particolarmente attenta, investigando se “l’azienda avesse un sistema di password che, almeno su alcuni computer, erano memorizzate dalla macchina, e che di alcune di queste macchine facessero uso più persone”, ma accertando altresì che non fosse provato che “l’accesso di ciascun dipendente fosse limitato a una parte sola delle cartelle contenenti i documenti aziendali” (Trib. Bologna, 1° agosto 2019, n. 1791, in DartsIp).
Come si è detto, è l’insieme di simili misure che concorre al soddisfacimento dei requisiti di legge, posto che si è escluso che fossero adottate idonee misure di segregazione ex art. 98.1 lett. c) c.p.i., non potendosi le stesse ricavare “dal dedotto obbligo di riservatezza in capo ai dipendenti, o dalla generica prescrizione […] che l’utente si doti di accorgimenti minimi nell’uso di internet e dei pc, ovvero username e password, senza adottare ulteriori misure di protezione fisica e giuridica.”[3]. In altri casi, la giurisprudenza ha ribadito la necessità di un complesso di misure tese alla salvaguardia della segretezza (Trib. Bologna, 16 maggio 2023, n. 1033, in DartsIp), spingendosi ad individuare i criteri con cui valutarne le caratteristiche: “password periodicamente sostituite, senza specificare a quali sistemi informativi dette password sarebbero state applicate, il grado di complessità delle stesse, la modalità di loro gestione, protezione e aggiornamento, su quali dischi risiederebbero le informazioni segrete e come sarebbero stati organizzati i documenti in relazione al loro contenuto e ai ruoli aziendali, l’esistenza o meno di un registro di tracciatura degli accessi ai sistemi informatici e di un livello di protezione anche fisico, etc.” (Trib. Brescia, 12 gennaio 2024, in DartsIp). Da ultimo, vale la pena di ricordare prassi strettamente lavoristiche, quali circondarsi di dipendenti assunti con contratti a lungo termine, limitare il turnover in determinati ruoli; segmentare le conoscenze (ad esempio, con modelli “a silos”, tali da evitare che singoli dipendenti siano a conoscenza di un intero ciclo produttivo nella sua interezza); e favorire in generale la fidelizzazione delle risorse umane, al contempo rendendole edotte dei temi qui in parola.
Altrettanto importanti, e spesso trascurate nel day by day, sono le misure esoaziendali – quelle relative all’agire dell’impresa sul mercato con particolare riferimento ai rapporti intrattenuti con terzi estranei all’organizzazione imprenditoriale interna. Così, ad esempio l’adozione di accordi di riservatezza fatti sottoscrivere a soggetti terzi che vengono coinvolti nella fase di produzione (fornitori) e vendita (clienti), che siano sufficientemente estesi da permettere di ritenere il know-how aziendale congruamente protetto; ricordando che formule generiche, troppo ampie potrebbero risolversi in mere clausole di stile, prive di reale valore precettivo.
Egualmente opportuna per ridurre i rischi di divulgazione e acquisizione può essere la delimitazione precisa delle persone o dei ruoli che, nell’ambito della struttura del soggetto ricevente esterno, potranno avere accesso alle informazioni; l’eventuale estensione a tali soggetti di impegni di riservatezza; l’obbligo di restituire le informazioni riservate senza conservarne copia, né cartacea, né elettronica, una volta che vengano meno le esigenze che hanno determinato la rivelazione. Ma far firmare idonei contratti non è sufficiente, se mancano poi misure concrete di attuazione e di controllo effettivamente esercitate; e vale qui sempre il principio secondo cui i contratti vanno rispettati, da entrambe le parti, ma anche eseguiti con la necessaria attenzione. Idoneo e frequente nella prassi è il ricorso, nello scambio di documentazione, a “cartigli” riportanti indicazioni che ne riservano la proprietà all’impresa stessa, che esplicitano il divieto di copia, o comunque che rivendicano titolarità e riservatezza; così come l’uso di determinate cautele (ad esempi, criptazione) nel trasferimento di materiale riservato.
L’analisi di alcune decisioni conferma che l’attenzione va posta sull’insieme delle misure, in quanto la giurisprudenza ha mostrato di saper cogliere eventuali contraddizioni, che rischiano di svuotare di significato pretesi vincoli contrattuali di riservatezza (ex multis Trib. Venezia, 8 giugno 2023, in Sprint, e Trib. Venezia, 18 agosto 2023, n. 1482, in DeJure).
Gli strumenti sono dunque vari, articolati e suscettibili di applicazione congiunta, anzi il coordinamento tra le varie misure – endoaziendali ed esoaziendali – è più che mai opportuna, e trova la propria ideale collocazione proprio in una policy omogenea e sistematica; l’adozione di simili policy[4] rappresenta dunque un valido strumento per ricondurre diverse misure (spesso adottate ma senza sistematicità) ad un regime dedicato e sistematico, destinato necessariamente ad affiancarsi alle sempre più numerose procedure che dettano i ritmi e gli adempimenti della vita aziendale.
Da ultimo, ma non ultimo per importanza, merita ricordare il crescente ruolo e la rilevanza dei profili informatici e di cybersecurity, sia nella fase di strutturazione di una tutela preventiva, sia a maggior ragione nella fase repressiva di eventuali violazioni; così, per fare un esempio, la tempestività di una copia forense del PC di un dipendente fuoriuscito è essenziale per poter perseguire una violazione anche attraverso gli strumenti della tutela cautelare, o di quella penale, senza tralasciare strumenti di indagine difensiva più tradizionali[5] che sono coessenziali ad una tutela efficace e tempestiva, e che si riveleranno tanto più incisivi quanto maggiore e completa sarà stata la fase di tutela preventiva e di sistematizzazione delle conoscenze aziendali. [1] In questa sede si utilizzeranno indifferentemente i temini know how, trade secrets o segreti commerciali. [2] La norma lavoristica può pacificamente non ritenersi sufficiente allo scopo, come peraltro chiarito in ambito c.d. Patent Box, nella disciplina previgente, attraverso la Circolare dell’Agenzia delle Entrate 11/E del 7 aprile 2016. [4] L’adeguatezza di simili policy ai fini di soddisfare i requisiti di cui all’art. 98 c.p.i. è peraltro espressamente confermata dalla Circolare E/11 del 5 aprile 2016 in materia di Patent Box. [5] Merita qui un richiamo il complesso delle norme penalistiche a tutela dei segreti, artt. 622 – 623 c.p., senza dimenticare le norme penalistiche in materia di software.