NEWS

Accordi di riservatezza: controllo del rispetto degli NDA in conformità al GDPR

La protezione dei segreti commerciali e delle informazioni riservate (trade secrets) non può essere affidata esclusivamente alla sottoscrizione di accordi di riservatezza (NDA). Tali accordi rappresentano uno strumento essenziale, ma non sufficiente.

Affinché la tutela sia effettiva, l’NDA deve essere inserito all’interno di una rete di misure tecniche ed organizzative coordinate ed integrate, capace di garantire nel tempo il rispetto degli obblighi di riservatezza assunti. L’idoneità di tali misure non è solo volta a prevenire le violazioni, ma anche a dimostrarne la gestione diligente, da parte dell’organizzazione, in caso di contestazioni.

Queste misure devono, al contempo, rispettare la normativa in materia di protezione dei dati personali. In questo articolo tratteremo di come controllare, nel rispetto del GDPR dei vari soggetti coinvolti, l’applicazione degli NDA.

I soggetti coinvolti - La riservatezza delle informazioni deve essere garantita lungo tutta la filiera dei soggetti che ne entrano in contatto, inclusi dipendenti, stagisti, consulenti, partner, fornitori ed in alcuni casi anche a clienti, potenziali investitori e membri del vertice e organismi di controllo interno. Ovviamente per ogni soggetto dovranno essere definiti NDA specifici e le relative misure di controllo.

Le misure tecniche - Un primo livello di controllo del rispetto degli NDA è costituito dalle misure tecniche di sicurezza, che consentono di limitare concretamente l’accesso alle informazioni riservate. Controlli di accesso fisici e logici, sistemi di autenticazione, profilazione degli utenti, inibizione utilizzo porte esterne e strumenti di crittografia rappresentano presìdi fondamentali per applicare il principio del “need to know” e ridurre il rischio di utilizzi non autorizzati. I privilegi concessi devono essere manutenuti e quindi tempestivamente: rivisti ad intervalli, revocati quando non più necessari (dimissioni, cambio, mansione, lunghe assenze, ecc.). I sistemi SOC devono essere impostati per rilevare potenziali minacce sia dall’interno che dall’esterno utilizzano una logica di approccio basato sulla gradualità nel rilevare comportamenti anomali, come ad esempio: cercare di forzare l’accesso ad aree non consentite in base al ruolo, accessi in orari non consueti, spostamenti di rilevanti quantità di informazioni in locale, ecc... I sistemi di monitoraggio devono essere spiegati (si veda la sezione formazione) e fungere da deterrente. Al contempo ai destinatari devono essere forniti supporto adeguato per risolvere problematiche o dubbi.

(Nella foto: l'Ing. Monica Perego, docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager)

Tali strumenti non hanno una funzione meramente preventiva, ma svolgono anche un ruolo probatorio: i sistemi di tracciamento e log, da usare solo quando realmente necessario, permettono infatti di ricostruire eventuali accessi indebiti e di individuare comportamenti non conformi agli obblighi di riservatezza.

Policy interne e procedure operative - Le misure tecniche devono essere supportate da adeguate misure procedurali per garantire il controllo del rispetto degli NDA e fungere da criterio in fase di audit. Tra queste: la classificazione delle informazioni, la definizione delle modalità di utilizzo e conservazione dei dati riservati e le regole per la restituzione o cancellazione delle informazioni/supporti di memoria in occasioni specifiche come ad esempio al termine del rapporto contrattuale.

Formazione e consapevolezza dei soggetti coinvolti - Un aspetto spesso sottovalutato è il ruolo della formazione. Il rispetto degli NDA dipende in larga misura dalla consapevolezza dei soggetti che accedono alle informazioni riservate. La formazione deve rendere chiaro cosa costituisce informazione confidenziale, quali usi sono consentiti e quali comportamenti integrano una violazione, anche involontaria; devono anche conoscere a quali tipi di controllo sono sottoposti, sempre nel rispetto della normativa e quali comportamenti anomali possono rilevare i sistemi di controllo presenti e l’approccio graduale che viene applicato.
Attraverso una conoscenza effettiva dei vincoli di riservatezza è possibile prevenire usi distorti delle informazioni e rafforzare la cultura aziendale della protezione del know-how.

Sistema disciplinare e canali di segnalazione - Il sistema di tutela deve essere completato da un apparato disciplinare efficace, coerente con il Codice Etico, con il Contratto di lavoro applicato e, ove presente, con il Modello Organizzativo ex D.lgs. 231/2001. La previsione di conseguenze in caso di violazione rafforza l’effettività degli obblighi assunti con l’NDA e contribuisce alla loro applicazione concreta.

In questa prospettiva si inseriscono anche i sistemi di whistleblowing, che consentono di intercettare tempestivamente comportamenti illeciti o rischiosi, inclusi quelli legati alla divulgazione non autorizzata di informazioni riservate. Tali strumenti rappresentano un ulteriore presidio di prevenzione e controllo.

Audit - Il rispetto degli NDA non può essere dato per acquisito una volta stipulato il contratto. È necessario prevedere audit periodici e verifiche mirate, sul sistema di gestione e/o sulla normativa e/o direttamente del rispetto dell’NDA. Gli audit devono essere programmati soprattutto in relazione a ruoli o funzioni particolarmente esposti. Le attività di controllo consentono di valutare l’effettiva efficacia delle misure adottate e di intervenire tempestivamente in caso di criticità.

Gli audit assumono inoltre rilievo in caso di contenzioso o ispezione, poiché dimostrano l’adozione di un sistema strutturato di controllo. Gli audit devono essere pianificati ed effettuati rispettando la privacy del collaboratore e pertanto è necessario che siano resi il più possibile trasparenti in tutte le fasi in cui sono articolati.

Il coordinamento contrattuale e il framework privacy - Infine, gli NDA devono essere coerenti con l’insieme degli altri strumenti contrattuali utilizzati dall’organizzazione, come clausole di non concorrenza o accordi privacy con i collaboratori. La riservatezza delle informazioni deve essere garantita lungo tutta la filiera dei soggetti potenzialmente esposti.

Tutte le misure adottate devono essere integrate all’interno di un framework conforme al GDPR, in particolare per quanto riguarda la sicurezza dei dati personali e il principio di accountability. In questo modo l’organizzazione non solo rispetta gli obblighi normativi, ma costruisce una tutela solida e dimostrabile del proprio patrimonio informativo.

Conclusione - Il controllo del rispetto degli NDA non è un adempimento isolato, ma il risultato di una strategia integrata che combina strumenti contrattuali, misure tecniche, regole organizzative e cultura aziendale. Solo attraverso questo approccio sistemico e coerente è possibile garantire una protezione effettiva dei segreti commerciali e delle informazioni riservate, preservando nel tempo il vantaggio competitivo dell’impresa.

In assenza di misure interne chiare, definite, applicate, controllate ed aggiornate (come ci insegna l’approccio PDCA), l’NDA rischia di rimanere un documento formale, difficilmente applicabile nella pratica quotidiana e difficile da poter monitorare.

Note sull'Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Prev Videosorveglianza fai-da-te: non vale l’«eccezione domestica» se le telecamere di casa sono puntate verso la strada pubblica
Next Nuovo pacchetto UE sulla cibersicurezza: revisione in arrivo per Cybersecurity Act e NIS2

Tavola rotonda su privacy e intelligenza artificiale nel mondo del lavoro

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy