Nonostante la sua importanza, la violazione di un accordo di riservatezza è un’eventualità che può verificarsi, con conseguenze significative per la parte lesa e questa eventualità occupa spesso le scrivanie dei legali.
Nell’ordinamento italiano, l’accordo di riservatezza è un “contratto atipico”, non disciplinato da una normativa specifica, ma lo vedremo meglio all’interno di questo articolo.
Cos’è l’accordo di riservatezza?
L’accordo di riservatezza, noto anche con l’acronimo inglese NDA (Non-Disclosure Agreement), rappresenta un contratto fondamentale nel mondo degli affari e delle collaborazioni, con il quale due o più parti si impegnano a non divulgare a terzi determinate informazioni qualificate come confidenziali (approfondisci come funziona un accordo di riservatezza).
Può essere unilaterale, quando solo una parte comunica informazioni riservate e l’altra si impegna a proteggerle, o bilaterale (o multilaterale), se vi è uno scambio reciproco di dati sensibili. La sua stipula è cruciale per proteggere il patrimonio informativo aziendale, che può includere segreti commerciali, know-how (essendo quest’ultimo spesso non formalmente registrato e quindi particolarmente dipendente da tali accordi per la sua tutela), dati finanziari, piani strategici e altre informazioni sensibili.
L’accordo di riservatezza trova il suo fondamento nei principi generali del diritto dei contratti, in particolare nell’articolo 1321 del Codice Civile sull’autonomia contrattuale e nell’articolo 1322 c.c., che ne riconosce la validità purché diretto a realizzare interessi meritevoli di tutela. La sua validità ed efficacia sono altresì sostenute dai principi di correttezza e buona fede che devono caratterizzare le trattative e l’esecuzione del contratto (Artt. 1175, 1337, 1375 c.c.).
Quando avviene la violazione di un accordo di riservatezza?
La violazione di un accordo di riservatezza si concretizza quando una delle parti non rispetta gli obblighi di segretezza e di uso limitato delle informazioni protette.
Vediamo le casistiche più comuni.
Divulgazione non autorizzata di informazioni riservate a terzi
È la forma più diretta di violazione e consiste nella comunicazione delle informazioni protette a soggetti non autorizzati dalla parte divulgante. Tale divulgazione può essere intenzionale o colposa, derivante da negligenza o imprudenza. La gravità dipende dalla natura delle informazioni, dall’ampiezza della diffusione e dal danno potenziale.
Utilizzo delle informazioni per scopi difformi da quelli contrattualmente previsti
Si verifica quando la parte ricevente, pur non divulgando le informazioni a terzi, le utilizza per finalità diverse da quelle esplicitamente consentite dall’accordo di riservatezza. Un esempio è lo sviluppo di prodotti concorrenti basati sulle informazioni riservate acquisite.
Mancata adozione di adeguate misure di sicurezza
L’obbligo di riservatezza implica anche un facere (letteralmente fare in latino), ovvero adottare cautele ragionevoli (fisiche, logiche, organizzative) per prevenire accessi non autorizzati, perdite o furti delle informazioni. La negligenza in tal senso configura una violazione. Se le informazioni includono dati personali, la mancata adozione di misure di sicurezza può integrare anche una violazione del GDPR.
Ad esempio, una società, dopo aver firmato un accordo di riservatezza per analizzare un software, salva il codice sorgente su un laptop non protetto. Un manager lascia poi il computer incustodito in un bar, permettendo a terzi di rubare i dati.
Violazioni compiute da dipendenti, ex-dipendenti, consulenti o subappaltatori
La parte ricevente è generalmente responsabile anche per le violazioni commesse dai propri ausiliari che hanno avuto accesso legittimo alle informazioni. Un accordo di riservatezza ben redatto dovrebbe imporre alla parte ricevente di garantire il rispetto degli obblighi anche da parte di questi soggetti, ad esempio tramite NDA interni o clausole specifiche nei contratti di lavoro.
Ritenzione indebita delle informazioni oltre i termini pattuiti
Gli accordi di riservatezza prevedono solitamente un termine di durata o l’obbligo di restituire/distruggere le informazioni (e le relative copie) alla scadenza dell’accordo, alla cessazione del rapporto o su richiesta. La mancata restituzione o distruzione, o la divulgazione successiva alla scadenza del termine per informazioni che dovrebbero ancora essere protette (come i segreti commerciali), costituisce una violazione.
Cosa comporta la violazione di un accordo di riservatezza?
Le conseguenze della violazione di un accordo di riservatezza possono essere molteplici e dipendono dalla gravità dell’inadempimento, dalla natura delle informazioni e dalle clausole specifiche del contratto. Oltre alle implicazioni legali, è fondamentale considerare il potenziale danno reputazionale per la parte inadempiente.
Interventi preliminari e stragiudiziali
Prima di adire le vie legali, un primo passo comune è l’invio di una lettera di diffida. Questo atto serve a contestare formalmente la violazione, richiedere la cessazione della condotta illecita, l’adozione di misure correttive e l’eventuale risarcimento dei danni subiti. Può inoltre interrompere i termini di prescrizione e fungere da avvertimento prima di un’azione legale.
Tutele in sede civile
Se la diffida non sortisce effetti, la parte lesa può ricorrere all’autorità giudiziaria civile. Vediamo quali sono i principali rimedi esperibili.
Azione inibitoria
Strumento cruciale per ottenere un’ordinanza che imponga la cessazione immediata della condotta lesiva (es. divieto di ulteriore divulgazione o utilizzo). Spesso richiesta in via d’urgenza (ex art. 700 c.p.c.) se sussistono la verosimile esistenza del diritto (fumus boni iuris) e il pregiudizio imminente e irreparabile(periculum in mora).
Risarcimento del danno
La violazione configura un inadempimento contrattuale (art. 1218 c.c.) e può integrare un illecito extracontrattuale (es. concorrenza sleale ex art. 2598 c.c.). La parte lesa ha diritto al risarcimento del danno, che include:
- Danno emergente: perdite patrimoniali dirette e immediate (es. costi di investigazione, perdita di valore dell’informazione).
- Lucro cessante: mancato guadagno che si sarebbe ragionevolmente conseguito senza la violazione (es. perdita di profitti, opportunità di mercato). La sua quantificazione è spesso complessa. Per analogia con la violazione di diritti di proprietà intellettuale, si può ricorrere al criterio della “royalty ragionevole” (art. 125 Codice della Proprietà Industriale – CPI), ossia il costo che il contraffattore avrebbe dovuto pagare al titolare del diritto per ottenere una licenza di uso del brevetto o del marchio, se l’avesse richiesta.
- Danno non patrimoniale: Inclusivo del danno reputazionale, qualora dimostrabile come conseguenza diretta della violazione.
Clausola penale
Molti accordi di riservatezza includono una clausola che predetermina una somma dovuta in caso di inadempimento, indipendentemente dalla prova del danno effettivo. Ha funzione di liquidazione anticipata del danno e di deterrenza. Una penale manifestamente eccessiva può essere ridotta dal giudice (art. 1384 c.c.).
Obbligo di restituzione o distruzione dei materiali riservati
Rimedio volto a recuperare il controllo sulle informazioni e prevenire future violazioni. L’obbligo si estende non solo alle informazioni originali ma anche a tutte le relative copie. La mancata restituzione o distruzione dei materiali nei tempi pattuiti integra di per sé una violazione contrattuale, definita come “ritenzione indebita”.
Sequestro
In alcuni casi, possono essere richieste misure cautelari reali come il sequestro conservativo (a garanzia del credito risarcitorio) o giudiziario (sui materiali contenenti le informazioni).
Sintetizzando molto, se una società scopre che un partner sta usando una sua formula segreta per creare un prodotto concorrente, violando un NDA, può, ad esempio, agire in due modi:
- chiedere il sequestro giudiziario dei server e dei computer del partner per bloccare immediatamente l’uso della formula.
- richiedere il sequestro conservativo dei conti bancari del partner per garantire che, in caso di condanna, ci siano i fondi per il risarcimento del danno.
Profili di rilevanza penale
La violazione di un accordo di riservatezza, specialmente se riguarda segreti commerciali, può integrare anche fattispecie di reato.
Rivelazione di segreti scientifici o industriali: art. 623 c.p.
L’art. 623 c.p. punisce chi, venuto a conoscenza di tali segreti per ragioni professionali o avendoli acquisiti abusivamente, li rivela o li impiega a proprio o altrui profitto. Il D.Lgs. 63/2018, che ha recepito la Direttiva UE sui segreti commerciali, ha rafforzato questa tutela.
Rivelazione di segreto professionale: art. 622 c.p.
L’art. 622 c.p. incrimina chi rivela o impiega a proprio o altrui profitto un segreto appreso per ragione del proprio stato, ufficio, professione o arte, se dal fatto può derivare nocumento.
Reati informatici
A seconda delle modalità, possono configurarsi reati come l’accesso abusivo a sistema informatico (art. 615-ter c.p.) o la frode informatica (art. 640-ter c.p.).
L’importanza della prova della violazione
Uno degli aspetti più critici è l’onere della prova, che grava sulla parte che lamenta la violazione. È necessario dimostrare l’esistenza dell’accordo di riservatezza, la natura confidenziale delle informazioni, l’avvenuta violazione, il nesso causale e l’entità del danno. Le difficoltà pratiche includono dimostrare la provenienza dell’informazione, quantificare il danno (specialmente il lucro cessante) e tracciare l’uso non autorizzato.
Strategie utili per facilitare la prova includono la marcatura dei documenti come “riservato”, la registrazione delle informazioni condivise, il mantenimento di log di accesso e sistemi di tracciabilità (es. audit log, watermarking digitale), e l’inclusione di clausole penali.
Eccezioni alla riservatezza e possibili linee difensive
Un accordo di riservatezza solitamente prevede eccezioni all’obbligo di confidenzialità, quali informazioni:
- già di pubblico dominio o che lo diventano senza colpa del ricevente;
- già legittimamente in possesso del ricevente prima della comunicazione;
- sviluppate indipendentemente dal ricevente;
- ricevute legittimamente da terzi non vincolati;
- la cui divulgazione è richiesta per legge o da un’autorità.
Una linea difensiva comune è contestare la validità dell’accordo di riservatezza per indeterminatezza o eccessiva genericità della definizione di “informazione riservata”.
Prevenzione: redigere un accordo di riservatezza efficace e adottare misure interne
La prevenzione anche per la non divulgazione di informazioni riservate è la migliore strategia.
Ciò si attua tramite:
- due diligence preliminare: prima di condividere informazioni sensibili, valutare l’affidabilità della controparte;
-
redazione accurata e personalizzata dell’accordo di riservatezza:
- chiarezza e specificità: evitare ambiguità, specialmente nella definizione delle informazioni riservate e degli scopi consentiti. È cruciale elencare dettagliatamente le categorie di informazioni;
- obblighi dettagliati del ricevente: divieto di divulgazione e uso improprio, obbligo di custodia diligente e adozione di misure di sicurezza;
- durata definita: commisurata alla natura delle informazioni;
- conseguenze della violazione: clausole penali calibrate, diritto al risarcimento del danno ulteriore e all’inibitoria;
- legge applicabile e foro competente: scelta ponderata, specie in contesti internazionali;
- personalizzazione: evitare modelli generici; l’accordo di riservatezza deve essere “cucito su misura”;
- implementazione di misure di sicurezza interne: tecniche (cyber security, crittografia), organizzative (policy chiare, controllo accessi need-to-know) e formazione periodica del personale per creare una cultura della riservatezza. Queste misure sono anche essenziali per dimostrare l’adozione di “misure ragionevoli” ai sensi del CPI (Codice della Proprietà Industriale) per la protezione dei segreti commerciali;
- revisione periodica: valutare periodicamente l’adeguatezza degli NDA esistenti, specialmente in caso di cambiamenti nel contesto di business o nelle relazioni con le controparti.
Come agire in modo strategico?
La tutela offerta da un accordo di riservatezza è massimizzata quando viene integrata in una strategia aziendale complessiva di gestione del rischio e protezione del patrimonio informativo. Un NDA non è semplicemente un documento legale, ma uno strumento proattivo per la salvaguardia degli asset intangibili più preziosi di un’impresa. La redazione meticolosa e personalizzata del contratto, l’adozione di solide misure di sicurezza interne e la consapevolezza delle conseguenze legali e reputazionali di una violazione sono fondamentali.
Affidarsi a un esperto può davvero fare la differenza: scopri come possiamo aiutarti.