Il Data Act e la tutela dei segreti commerciali: un equilibrio complesso tra condivisione e riservatezza
Le imprese saranno chiamate a rivedere i propri sistemi di gestione dei dati, separando con attenzione quelli generati da dispositivi connessi, per evitare di perdere protezioni essenziali
Il Data Act entrerà in vigore nel settembre 2025 e introduce obblighi notevoli relativi all’accesso e condivisione di dati, personali e non, generati da dispositivi connessi, sollevando rilevanti problematiche su come possano essere protetti i segreti commerciali, i c.d. trade secret, per evitarne la potenziale comunicazione a concorrenti.
Il Data Act si applica aqualsiasi dato inteso come rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva.
Concepito nell’ambito delle iniziative della Digital Decade, questa legislazione mira a sbloccare il potenziale economico dei dati, in un mondo in cui la connessione digitale consente di acquisire informazioni rispetto a qualsiasi utilizzo di qualsiasi dispositivo, promuovendo un accesso più equo e trasparente ai dati e incoraggiando innovazione e concorrenza. Tuttavia, accanto alle opportunità, il Data Act pone sfide significative, soprattutto per quanto riguarda la protezione dei segreti commerciali (trade secrets), regolamentati dalla Direttiva (UE) 2016/943.
Uno degli obiettivi del Data Act è infatti proprio quello affrontare il mancato efficiente utilizzo di dati, personali e non: nonostante la digitalizzazione e l’avvento dell’intelligenza artificiale che consente di processare enorme masse di dati, l’80% dei dati generati nell’UE attraverso il c.d. Internet of Things (IoT) non viene mai utilizzato. Per risolvere questo problema, il Data Act definisce il quadro normativo stabilendo chi può accedere ai dati, in che modo e per quali finalità.
Tuttavia, questa spinta verso la condivisione e l’utilizzo dei dati deve fare i conti con la necessità di proteggere informazioni aziendali riservate che, se fossero divulgate, potrebbero compromettere il vantaggio competitivo delle imprese che deriva appunto dalla disponibilità di determinati set di dati.
I segreti commerciali nel Data Act: equilibrio tra accessibilità e tutela del segreto
Il Data Act pone i segreti commerciali al centro del delicato equilibrio tra la necessità di condivisione dei dati, obiettivo dichiarato del Data Act, e la necessità di tutelare i dati aziendali, patrimonio fondamentale dell’impresa. Secondo quanto previsto dal Considerando 31 del Regolamento“i titolari dei dati dovrebbero poter richiedere all’utente o a terzi scelti dall’utente di preservare la riservatezza dei dati considerati segreti commerciali. A tal fine, i titolari dei dati dovrebbero individuare i segreti commerciali prima della divulgazione e dovrebbero avere la possibilità di concordare con gli utenti, o con terzi scelti dall’utente, le misure necessarie per preservarne la riservatezza, anche mediante l’uso di clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi e norme tecniche, nonché mediante l’applicazione di codici di condotta”.
Gli articoli 4 e 5 del Data Act danno attuazione a questo considerando, stabilendo i diritti e gli obblighi delle parti coinvolte, con l’obiettivo di evitare usi impropri dei dati, personali e non, e mitigare il rischio di danni economici significativi per i detentori dei medesimi dati.
L’articolo 4 garantisce agli utenti finali dei dispositivi connessi il diritto di accedere ai dati generati da questi ultimi e, su richiesta, di trasferirli a terzi. Tuttavia, tale trasferimento non deve compromettere i segreti commerciali del detentore dei dati il quale, per ottenere questo obiettivo, è tenuto prima di tutto ad identificare quali informazioni, nell’innumerevole massa di dati processati dall’impresa, possano essere qualificati come segreti commerciali, e poi a implementare misure di protezione tecniche e legali adeguate a mantenere la riservatezza. Qualora dalla divulgazione possa derivare un rischio elevato di danno economico, il detentore dei dati può rifiutare la condivisione, invocando le eccezioni previste dall’articolo 4 (8) del Regolamento.
Per parte sua, l’art. 5 (9)definisce i limiti entro cui i segreti commerciali cui l’utente abbia accesso possano da questi essere condivisi con i terzi, prevedendo che “i segreti commerciali sono conservati e comunicati a terzi solo nella misura in cui tale divulgazione è strettamente necessaria per conseguire la finalità concordata tra l’utente e il terzo. Il titolare dei dati o, qualora non si tratti della stessa persona, il detentore del segreto commerciale individua i dati protetti quali segreti commerciali, anche nei pertinenti metadati, e concorda con il terzo le misure tecniche e organizzative proporzionate necessarie a preservare la riservatezza dei dati condivisi, quali clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi, norme tecniche e l’applicazione di codici di condotta”.
Secondo il medesimo art. 5 (10)“in assenza di accordo sulle misure necessarie di cui al paragrafo 9 del presente articolo o qualora il terzo non attui le misure concordate ai sensi del paragrafo 9 del presente articolo o pregiudichi la riservatezza dei segreti commerciali, il titolare dei dati può bloccare o, se del caso, sospendere la condivisione dei dati identificati come segreti commerciali”. Anche in questo caso, qualora dalla divulgazione possa derivare un rischio elevato di danno economico, il detentore dei dati può rifiutare la condivisione, invocando le eccezioni previste dall’articolo 5(11) del Regolamento.
Quali problematiche possono emergere?
L’armonizzazione della tutela dei segreti commerciali effettuata con la Direttiva (UE) 2016/943, implementata nel nostro Paese con il D.Lgs 63/2018, ha realizzato l’obiettivo di creare un framework comunitario alla tutela del segreto commerciale, Tuttavia l’esperienza pratica più recente dice come la sensibilità delle aziende rispetto alla identificazione delle informazioni che possono qualificarsi segreti commerciali e all’adozione di tutti i presidi che possano mantenere la riservatezza delle informazioni, come previsto dall’art. 98 del c.p.i., rimane bassa. Prevale infatti in molte realtà l’esigenza di mantenere una fluidità nell’accesso alle informazioni aziendali, evitando policy che possano rendere difficile la circolazione delle informazioni all’interno dell’azienda e nelle comunicazioni con i terzi. Così facendo, tuttavia, si mette potenzialmente a rischio il patrimonio informativo dell’azienda, che è destinato ad avere un’importanza sempre maggiore proprio in considerazione della connessione digitale che stiamo vivendo in questi tempi.
L’approvazione del Data Act pone le imprese di fronte alla necessità, se vogliono proteggere i proprio segreti commerciali, di attivarsi sia per definire quali dati abbiano i requisiti per essere qualificati come segreti commerciali.
A tal fine è necessario che le informazioni siano
a) segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore;
b) abbiano valore economico in quanto segrete; e
c) siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.
Solo adottando le misure sopra indicate sarà possibile, per l’azienda, evitare la loro divulgazione ai sensi del Data Act.
Prospettive future e raccomandazioni
Entro il 12 settembre 2025, la Commissione Europea pubblicherà termini standardizzati per la condivisione dei dati e la protezione dei segreti commerciali.
Per le organizzazioni, è essenziale prepararsi al Data Act adottando strategie di gestione dei dati e di tutela dei propri segreti commerciali, che comprendono fra l’altro:
1.Valutazione dell’impatto del Data Act: le imprese devono analizzare quali dati possano essere qualificati segreti commerciali, tracciando il flusso di dati per i prodotti e i servizi correlati.
2.Implementazione di un solido quadro di governance dei dati: per proteggere i segreti commerciali come sopra identificati, le imprese devono creare policy per l’accesso, la condivisione e la portabilità dei dati, e implementare misure di sicurezza robuste per proteggere tali dati rispetto alla loro divulgazione non autorizzata.
3.Formazione interna per la comprensione degli obblighi normativi: È importante rendree vive le policy di cui sopra, sensibilizzando i dipendenti e i partner esterni (fornitori, clienti) sulle normative di compliance e sull’importanza di proteggere i segreti commerciali.
4.Gestione efficace dei contratti e delle condizioni d’uso: Rivedere i termini di accesso e uso dei dati e aggiornare gli accordi di condivisione dati alla luce della necessità di proteggere le informazioni aziendali che costituiscono segreto commerciale.
5.Monitoraggio continuo e adattamento: Verificare se esistono leggi settoriali o nazionali rilevanti e monitorare gli sviluppi normativi e le attività dei concorrenti per adattare le strategie aziendali.
In conclusione, il Data Act richiede alle aziende di adottare misure specifiche per proteggere i propri diritti di proprietà intellettuale, come i segreti commerciali e i diritti sui database, in un contesto di maggiore accesso e condivisione dei dati. Le imprese dovranno rivedere i propri sistemi di gestione dei dati, separando con attenzione quelli generati da dispositivi connessi, per evitare di perdere protezioni essenziali. Preparandosi adeguatamente, le organizzazioni saranno in grado di rispettare le nuove disposizioni normative, mantenendo la competitività e sfruttando le opportunità offerte da un mercato dei dati europeo più aperto.
______
*A cura di Giulio Coraggio, Roberto Valenti e Maria Vittoria Pessina, DLA Piper