Seminario organizzato dal Centro Studi Informatica Giuridica di Milano nell'ambito di SMAU Milano 2012 ("Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali")
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
CSIG protezione delle informazioni aziendali [I parte]
1. Norma e Tecnica nella gestione e
valorizzazione delle informazioni
aziendali
Avv. Andrea Maggipinto
Ing. Igor Serraino
www.studiomra.it
www.serraino.it
2. Agenda
Livelli di protezione e controllo
legale: contrattuale e giudiziale
organizzativo e tecnologico: sistema qualità
Casi d’uso e riflessioni conclusive
andrea.maggipinto@studiomra.it - www.maggipinto.org
3. Protezione e controllo dell’informazione
Sistema organizzativo aziendale tale da:
• garantire che le informazioni siano disponibili
alle persone autorizzate
• evitare che persone non autorizzate entrino in
possesso di informazioni riservate
• tutelare riservatezza e confidenzialità
• allinearsi alle best practices e agli standard
• soddisfare la normativa vigente
andrea.maggipinto@studiomra.it - www.maggipinto.org
4. Livello legale di protezione e
controllo
Tutela legale
Tutela contrattuale
Azioni a difesa
andrea.maggipinto@studiomra.it - www.maggipinto.org
5. Tutela legale dei beni intangibili
La conoscenza è valore
Segreto: informazione su fatti o cose che devono
rimanere riservati (relazione soggetto-conoscenza)
Know-How: conoscenze pratiche e saperi
Banche dati: insieme di dati/archivi collegati secondo
un modello logico
Invenzioni: conoscenza di nuovi rapporti causali per
l’ottenimento di un certo risultato riproducibile
Brevetto: il trovato o il processo innovativo suscettibile
di applicazione industriale
andrea.maggipinto@studiomra.it - www.maggipinto.org
6. Tutela legale del patrimonio
informativo
Dipendenti
• Art. 2105 Cod. Civ. (Obbligo di fedeltà): il prestatore di
lavoro non deve trattare affari, per conto proprio o di
terzi, in concorrenza con l'imprenditore, né divulgare
notizie attinenti all'organizzazione e ai metodi di
produzione dell'impresa, o farne uso in modo da poter
recare ad essa pregiudizio
Ex collaboratori e concorrenti
• Art. 2598 Cod. Civ. (Atti di concorrenza sleale): Atti
confusori, Denigrazione e appropriazione di pregi, Atti
contrari alla correttezza professionale
andrea.maggipinto@studiomra.it - www.maggipinto.org
7. Informazioni (segrete) come bene
aziendale
Il Codice della Proprietà Industriale (artt. 98 e 99 del
D.Lgs. 30/2005) vieta la divulgazione a terzi di
informazioni necessarie e utili per il processo
produttivo, distributivo o organizzativo di un’attività
economica.
Le informazioni però devono soddisfare certi requisiti:
• segretezza
• valore economico
• sottoposte a “segregazione”
andrea.maggipinto@studiomra.it - www.maggipinto.org
8. Informazioni segrete
Art. 98 CPI (Oggetto della tutela)
1. Costituiscono oggetto di tutela le informazioni aziendali e le
esperienze tecnico-industriali, comprese quelle commerciali,
soggette al legittimo controllo del detentore, ove tali
informazioni:
a) siano segrete, nel senso che non siano nel loro insieme o
nella precisa configurazione e combinazione dei loro elementi
generalmente note o facilmente accessibili agli esperti ed agli
operatori del settore;
b) abbiano valore economico in quanto segrete;
c) siano sottoposte, da parte delle persone al cui legittimo
controllo sono soggette, a misure da ritenersi
ragionevolmente adeguate a mantenerle segrete […]
andrea.maggipinto@studiomra.it - www.maggipinto.org
9. Quali informazioni sono protette?
le informazioni aziendali (organizzative, finanziarie, di
gestione, di marketing)
le esperienze tecnico-industriali e quelle commerciali
i dati relativi a prove o altri segreti la cui elaborazione
comporti un considerevole impegno economico e di
tempo
Assume rilevanza non tanto l'informazione in sé e
per sé, ma il complesso di informazioni o la loro
specifica configurazione e combinazione
andrea.maggipinto@studiomra.it - www.maggipinto.org
10. Know How
“Patrimonio di conoscenze pratiche non brevettate
derivanti da esperienze e da prove” (tecnologico,
commerciale, finanziario, strategico)
Reg. 772/04/CE (già Reg. n.96/240/CE):
• segretezza
• sostanzialità
• identificabilità
Valore economico: negoziazione
andrea.maggipinto@studiomra.it - www.maggipinto.org
11. Condizione di accesso alla tutela
Onere di adottare misure “ragionevolmente adeguate” da
parte del soggetto al cui legittimo controllo le informazioni
sono soggette (titolare dell'impresa).
Valutare in concreto e graduare la scelta:
• condizioni di conservazione/detenzione delle informazioni
• modalità di utilizzo
• soggetti che possono accedere alle informazioni
• progresso tecnologico
• altre misure di natura organizzativa o tecnologica già
adottate (misure di sicurezza privacy, policies aziendali,
ecc.)
• misure di natura contrattuale
andrea.maggipinto@studiomra.it - www.maggipinto.org
12. Tutela contrattuale
Misura preventiva: patto di non concorrenza e non-sollicitation
(Key People?)
Da ricordare: “Il patto con il quale si limita lo svolgimento
dell'attività del prestatore di lavoro, per il tempo successivo
alla cessazione del contratto, è nullo (i) se non risulta da
atto scritto, (ii) se non è pattuito un corrispettivo a favore
del prestatore di lavoro e (iii) se il vincolo non è contenuto
entro determinati limiti di oggetto, di tempo e di luogo. La
durata del vincolo non può essere superiore a cinque anni,
se si tratta di dirigenti, e a tre anni negli altri casi. Se è
pattuita una durata maggiore, essa si riduce nella misura
suindicata” (art. 2125 Cod. Civ.)
andrea.maggipinto@studiomra.it - www.maggipinto.org
13. Tutela contrattuale
Misura preventiva: patto di riservatezza / accordo di non
divulgazione / non-disclosure agreement (Key People?)
“informazioni riservate”
durata
penali
garanzia anche per fatto e obbligazione di terzo
(art. 1381 c.c.)
giudice competente e legge applicabile
andrea.maggipinto@studiomra.it - www.maggipinto.org
14. Azioni a difesa
Azione giudiziaria ordinaria
• provvedimenti: inibitoria / risarcimento del danno /
pubblicazione della sentenza / retroversione degli utili
Azione giudiziaria cautelare
• fumus boni juris
• periculum in mora
• provvedimenti: descrizione / inibitoria / sequestro
Sanzioni penali (art. 513 e art. 622 Cod. Pen.)
andrea.maggipinto@studiomra.it - www.maggipinto.org
15. Onere della prova
Principio generale di cui all’art. 2697 Cod. Civ.
Chi agisce in giudizio per tutelare le proprie
informazioni da atti illeciti di terzi deve provare
– ex artt. 98 e 99 CPI – la sussistenza delle tre
condizioni per l’accesso alla tutela (lo ricorda il
Tribunale di Bologna 4.10.2010)
andrea.maggipinto@studiomra.it - www.maggipinto.org
16. Un caso significativo
Fattispecie:
Impresa
Settore peculiare
Patrimonio aziendale composto da (A) informazioni
segrete e know-how; (B) banche di dati
andrea.maggipinto@studiomra.it - www.maggipinto.org
17. Il piano illecito
Sottrazione e utilizzo delle informazioni e delle banche dati
- archiviazione e condivisione sui computer aziendali
- utilizzo per newsletter
- liste di distribuzione: soggetto terzo coinvolto
Storno di dipendenti
- sollecitazione alle dimissioni
- assunzione e ricerca della loro collaborazione
andrea.maggipinto@studiomra.it - www.maggipinto.org
18. Descrizione giudiziale
Ai sensi degli artt. 161 della legge 633/1941 (LDA) e 129
del D.Lgs. 30/2005 (CPI)
• il titolare dei diritti può chiedere la descrizione degli
"oggetti costituenti violazione di tale diritto, nonché dei
mezzi adibiti alla produzione dei medesimi e degli
elementi di prova concernenti la denunciata violazione e
la sua entità" (art. 129 CPI).
• finalità: acquisire la prova dell’illecito ed evitare che in
futuro si possa sostenere di non avere estratto e/o
duplicato e/o riprodotto e/o rivelato e/o acquisito e/o
detenuto e/o comunque utilizzato le informazioni, il
know-how e le banche dati
andrea.maggipinto@studiomra.it - www.maggipinto.org
19. Onere probatorio
E’ stato necessario provare che le informazioni possedevano
le tre caratteristiche richieste per la loro tutela ai sensi e per
gli effetti di cui agli artt. 98 e 99 CPI
(i) segretezza
• non sono note agli altri operatori concorrenti, né sono
liberamente accessibili.
• non è possibile reperire (neppure una parte sostanziale
delle informazioni) altrove, per esempio attraverso una
ricerca in archivi cartacei, su pagine bianche, online, su siti
associativi, social network, nelle banche dati della camera
di commercio o creditizie
andrea.maggipinto@studiomra.it - www.maggipinto.org
20. Titolo della slide
(ii) valore economico (proprio perché non sono note né
accessibili ai concorrenti)
• La raccolta e la gestione delle Informazioni è costata anni
di notevoli investimenti, impegno e spese; le informazioni
consentirebbero a chi ne entrasse in possesso di ricavare
elementi determinanti per realizzare e proporre prodotti e
servizi magari a condizioni più convenienti, o comunque
mirati a una clientela già faticosamente curata e
selezionata, risparmiando così tempi e costi significativi per
l’autonoma creazione del proprio “portafoglio”
andrea.maggipinto@studiomra.it - www.maggipinto.org
21. Titolo della slide
(iii) sono sottoposte a idonee misure a mantenerle
segrete
• Misure di sicurezza (Documenti Programmatici ex d.lgs.
196/2003, Manuali sulla sicurezza, clausole contrattuali)
• l’accesso di ciascun utente può avvenire solo attraverso
un processo di autenticazione protetto da password
• il server dell’azienda non è accessibile in remoto e la
rete è comunque protetta da firewall (hardware e
software) di ultimissima generazione e in costante
aggiornamento
andrea.maggipinto@studiomra.it - www.maggipinto.org
22. In cosa consiste
Descrizione dei file in formato elettronico presenti sul server,
sui computer, su qualunque supporto, come Cd-Rom, DVD,
chiavette USB e altro, nonché delle agende e delle
rubriche, anche elettroniche, degli elenchi delle telefonate,
della corrispondenza, di tabulati e/o elenchi, delle schede
clienti, del materiale commerciale e promozionale e
comunque di tutta la documentazione e/o i file relativi al
titolare dei diritti violati, nonché la descrizione della
documentazione commerciale e contabile relativa
all’utilizzazione delle Informazioni, del know-how e delle
banche di dati, anche al fine di individuare se vi siano altri
soggetti coinvolti nell'illecito.
andrea.maggipinto@studiomra.it - www.maggipinto.org
23. Esito della descrizione
Il CTU nominato dal Tribunale e l’Ufficiale Giudiziario
competente, nel corso della descrizione, hanno
trovato sui computer e sul server della società
concorrente una massiccia quantità di dati
pertinenti alla controversia
Il tutto è stato acquisito su DVD sigillato, custodito in
cancelleria e inizialmente non accessibile alle
parti.
andrea.maggipinto@studiomra.it - www.maggipinto.org
24. Next step: sequestro e inibitoria
Sequestro dei dati (ai sensi e per gli effetti di cui agli art. 129
CPI e 161 LDA)
• Finalità: evitare che le Informazioni e le Banche di dati
rimanessero di fatto nella disponibilità del concorrente
Inibitoria all’utilizzo delle Informazioni e delle Banche di dati
(ai sensi e per gli effetti di cui agli artt. 131 CPI e 156 LDA)
Inibitoria all’impiego dei dipendenti stornati (ex art. 700 Cod.
Proc. Civ., art. 2598 Cod. Civ.).
Pubblicazione del provvedimento
andrea.maggipinto@studiomra.it - www.maggipinto.org
25. To be continued..
Ing. Igor Serraino
Avv. Andrea Maggipinto
www.serraino.it
igor@serraino.it
www.maggipinto.org
andrea.maggipinto@studiomra.it