Tanto la disciplina sulla privacy quanto quella della cybersecurity prevedono che, al fine di individuare le misure tecniche e organizzative adeguate a proteggere dati (GDPR) e sistemi e reti (Cybersecurity), ogni destinatario della normativa debba adottare un processo di adeguamento della tutela
Come dicevo nel mio precedente articolo, a proposito della tutela del know how, sono molte le misure che si possono mettere in campo per tutelare i propri segreti. Oggigiorno, oltre alle misure più tradizionali (ed imprescindibili) di cui ho già parlato, si possono utilmente affiancare altre misure, non nate per la tutela dei segreti ma che possono, in maniera molto efficace, venire utilizzate allo scopo, in modo integrato. Mi riferisco alle misure previste dal c.d. GDPR e dalla normativa sulla Cybersecurity. Il c.d. GDPR, come noto, ha ad oggetto il trattamento di dati personali e le relative misure di tutela, mentre la normativa sulla Cybersecurity è chiaramente volta alla protezione dei sistemi informativi e delle reti, attraverso apposite procedure. Ovviamente entrambe le normative sono nate e si riferiscono ad altro ma è evidente come la corretta adozione delle misure ivi previste possa ben essere utilizzata come base a supporto della protezione del know-how: uno degli obbiettivi del GDPR, ad esempio, è proprio quello di garantire la riservatezza (insieme all’integrità e alla disponibilità dei dati), assicurando che a ogni informazione possa accedere solo il soggetto autorizzato in base alle proprie mansioni aziendali, proprio come stabilito dall’art. 98 c.p.i.. Inoltre, tanto la disciplina sulla privacy quanto quella della cybersecurity prevedono che, al fine di individuare le misure tecniche e organizzative adeguate a proteggere dati (GDPR) e sistemi e reti (Cybersecurity), ogni destinatario della normativa debba adottare un processo di adeguamento della tutela che preveda quanto meno i seguenti step: Il c.d. l’assessment: un’analisi concreta degli impatti e dei rischi della violazione, nonché del dettaglio delle misure esistenti a protezione; la c.d. remediation: individuazione delle misure di rimedio necessarie a rafforzare la protezione; il monitoraggio: pianificazione, implementazione e monitoraggio delle misure adottate a protezione. Su tale scorta, pertanto, chiunque voglia proteggersi dovrà, innanzitutto, individuare quali siano le informazioni da tenere segrete e le misure adottate a protezione, tenendo in debito conto lo stato dell’arte (e dunque il livello di avanzamento tecnologico), i costi di attuazione delle misure di sicurezza, la natura, l’oggetto, il contesto e le finalità del trattamento dei dati, nonché la probabilità e la gravità del rischio connesso alla loro violazione. E proprio nel valutare l’adeguatezza del livello di sicurezza, ben si comprende come quanto previsto dalle normative in tema di Privacy e Cybersecurity ben possa essere traslato al know how: nel valutare l’adeguatezza delle misure di protezione non si potrà prescindere, infatti, dall’analisi di rischi molto frequentemente connessi ai segreti aziendali quali la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso, in modo accidentale o illegale. E così, una volta individuati i segreti, gli impatti e i rischi della loro violazione, nonché le misure esistenti, si potranno identificare le eventuali misure ulteriori necessarie e pianificarne la relativa implementazione. In ultimo, completata la fase della remediation, occorrerà pianificare il monitoraggio, prevedendo appositi audit periodici e check-list di dettaglio.
