La gestione degli accordi di riservatezza (NDA – Non Disclosure Agreement) e in generale dei segreti commerciali e dei know-how (intesi come tutte le informazioni aziendali e le esperienze tecnico-industriali che siano segrete e che abbiano valore economico) scambiati tra parti (imprese, dipendenti, collaboratori) durante trattative o rapporti professionali può esporre l’organizzazione a profili di rischio, giuridici, operativi ed economici, se  governati mediante la sola predisposizione contrattuale e senza che siano predisposte, da parte delle persone al cui legittimo controllo sono soggette, misure da ritenersi ragionevolmente adeguate a mantenerle segrete.

Nel periodo recente la Cassazione ha precisato che la tutela dei dati non è estesa solo ai “segreti aziendali” in senso stretto, ma anche a dati come liste clienti, liste fornitori, metodi di organizzazione del lavoro che sono accessibili a tutti i dipendenti dell’azienda, specificando inoltre, che la tutela delle informazioni implica l'adozione di misure di sicurezza adeguate (tecniche e organizzative) a mantenere il segreto e ad evitare che lo stesso venga violato dalle persone che sono state autorizzate a conoscerlo.

‍

La normativa vigente richiede che la tutela delle informazioni riservate e dei segreti commerciali sia supportata da un sistema coerente di misure di sicurezza tecniche ed organizzative, la cui adeguatezza deve essere dimostrabile nel tempo, anche in caso di contenzioso, ispezione o violazioni dei dati (data breach).

‍

Nel concreto, l’azienda deve progettare e mantenere un modello di gestione delle informazioni che presuppone la mappatura dei flussi informativi, l’individuazione dei soggetti coinvolti, la definizione di regole di accesso differenziate, la predisposizione di audit periodici, nonché l’allineamento tra NDA, policy interne, misure di sicurezza tecniche e conformità al Reg. Europeo 679/2016 (GDPR).

L’assenza di coerenza tra tali elementi o la loro applicazione non documentata, espone l’organizzazione al rischio di non poter dimostrare la propria accountability, con conseguenze rilevanti sul piano sanzionatorio e reputazionale.

Ulteriori criticità emergono nella gestione dei controlli sugli accessi, nella configurazione dei sistemi di logging e tracciamento, nella definizione delle basi giuridiche e delle informative, nonché nel bilanciamento tra esigenze di tutela del know-how e diritti dei soggetti interessati.

Analogamente, la mancanza di procedure formalizzate, di audit periodici e di formazione adeguata a tutti i soggetti coinvolti, rende l’NDA difficilmente applicabile nella pratica quotidiana e indebolisce la posizione dell’azienda in caso di violazioni o contestazioni.

La gestione quindi degli NDA non può essere affrontata come un adempimento isolato, ma richiede un approccio specialistico e integrato, capace di coniugare diritto della protezione dei dati, sicurezza delle informazioni, organizzazione aziendale e sistemi di controllo.

‍

‍