Non-Disclosure Agreement, la guida su misura per le aziende

Con non-disclosure agreement, o accordo di riservatezza, ci si riferisce a un contratto tra le parti al fine di tutelare la non divulgazione di informazioni e dati personali di carattere confidenziale. In particolare, una parte garantisce all’altra di non rivelare a terzi determinate informazioni note a entrambe e delle quali è venuta a conoscenza in un determinato contesto, come ad esempio lo svolgimento del proprio incarico.

L’accordo, che può essere concluso tanto all’inizio del rapporto quanto in un momento successivo, può circoscriversi a una determinata attività o progetto, oppure abbracciare l’intero rapporto tra le parti e, di riflesso, tutte le informazioni che vi entrano in gioco.

Chi sono le parti coinvolte nel non-disclosure agreement

In base al contesto il non-disclosure agreement coinvolge soggetti (siano essi persone fisiche o giuridiche) di diverso tipo, rispetto ai quali un’azienda può trovarsi nella condizione di rendere conoscibili o trasmettere informazioni per svariate ragioni, come ad esempio, principalmente:

• Il caso dell’azienda alla quale viene trasferito il know-how nell’ambito di una preventiva fase negoziale per la conclusione di un contratto;
• L’incontro tra investitori, nelle attività di fundraising;
• La richiesta di un’offerta per un servizio o lo svolgimento del servizio stesso, da parte del fornitore al quale vengono trasmesse informazioni scambiate per consentirgli la presentazione dell’offerta o di cui possa venire a conoscenza nello svolgimento dell’incarico conferitogli.
• L’ipotesi dell’ex dipendente dopo la cessazione del rapporto di lavoro, nei confronti del quale può esser stato previsto un patto di non concorrenza e riservatezza.

L’accordo risulta dunque utile a prevenire il sorgere di eventuali problematiche legate alla diffusione non autorizzata di informazioni confidenziali, tanto più con riguardo alla fase di trattativa, ossia prima che le parti siano legate da un vero e proprio vincolo contrattuale.

Da osservare, inoltre, come lo scambio di informazioni possa risultare unilaterale (con solo una parte ricevente, che si impegna alla riservatezza) o bilaterale (con entrambe le parti che si scambiano informazioni confidenziali e che, per tale motivo, dovranno reciprocamente impegnarsi alla non divulgazione di quanto di loro conoscenza).

Quali informazioni sono protette dal non-disclosure agreement

Per quanto il tracciamento del perimetro entro il quale un’informazione debba considerarsi riservata venga rimesso all’autonomia negoziale delle parti, come già osservato, in generale, le informazioni oggetto del non-disclosure agreement sono certamente connotate dal carattere della confidenzialità.

Le informazioni e i dati personali da tutelare possono essere individuati nel documento in modo generale (richiamando, ad esempio, le informazioni apprese durante lo svolgimento di un determinato incarico), oppure in modo analitico (inserendo uno specifico e dettagliato elenco). In ogni caso è opportuno indicare nel documento in modo chiaro e specifico a quali informazioni ci si riferisce, evitando formulazioni generiche e vaghe.

La necessità di un Accordo di riservatezza con l’impresa di pulizie

Appare utile soffermarsi sull’ipotesi dei soggetti o delle imprese alle quali l’azienda affidi l’attività di pulizia e di sanificazione dei locali. Nei loro confronti, soprattutto nella fase immediatamente successiva all’entrata in vigore del GDPR (Regolamento (UE) 2016/679), non di rado si è assistito a curiose iniziative e creative interpretazioni di quanti hanno inteso inquadrarli come responsabili ai sensi dell’articolo 28 GDPR, in base alla circostanza per cui detti soggetti trovandosi a operare nei locali aziendali possono avere potenziale accesso a dati personali.

Per quanto un addetto alle pulizie di una società esterna, data la natura della sua attività, non ha (e non dovrebbe avere) accesso ad alcuna informazione conservata nei locali in cui presta servizio, può tuttavia accadere il contrario, ossia può imbattersi (più o meno volontariamente) nella consultazione di un documento contenente informazioni riservate dimenticato, magari, dallo sbadato dipendente sulla propria scrivania.

Se è innegabile come, alla luce del punto 2 dell’art. 4 GDPR, anche una mera consultazione di dati personali[1] rappresenta attività di “trattamento”, è altrettanto vero che l’azienda nella sua qualità di titolare in questo caso non “affida delle attività di trattamento” (circostanza alla quale è subordinata, come indicato al Considerando 81 del GDPR, la necessità di nominare uno o più responsabili del trattamento), quanto piuttosto le attività di pulizia e sanificazione. Le possibili consultazioni di dati personali da parte degli addetti che svolgono le attività, pertanto, rappresentano piuttosto una “conseguenza” legata al materiale svolgimento dell’attività affidata all’impresa o al professionista esterno.

Ciò non di meno proprio questa circostanza di fatto, unitamente ai potenziali rischi per i dati personali, conduce alla necessità di impegnare alla riservatezza l’impresa (che, dal canto suo, sarà chiamata ad autorizzare i soggetti che presteranno le attività) o il professionista esterno addetto alle pulizie attraverso uno specifico accordo di riservatezza.

Tale chiave di lettura – semmai ve ne fosse stato bisogno – è stata confermata nelle Linee guida 7/2020[2] del Comitato europeo per la protezione dei dati (EDPB – European Data Protection Board) che, atteso come “non vi è alcuna intenzione di ricorrere all’impresa di servizi di pulizia o ai suoi dipendenti per trattare dati personali per conto della società”, ha chiarito come tanto l’impresa quanto i suoi dipendenti devono essere “considerati terzi e il titolare del trattamento deve assicurare l’esistenza di misure di sicurezza adeguate a impedire l’accesso ai dati e stabilire un obbligo di riservatezza in caso di accesso accidentale a tali dati”[3].

Si noti, inoltre, come l’inquadramento dell’impresa di pulizie e dei relativi dipendenti come soggetti “terzi” porti già di per sé a escluderne una loro qualifica quali responsabili, nella misura in cui tra le definizioni offerte dall’art. 4 GDPR per “terzo” deve intendersi “la persona fisica o giuridica […] che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”.

Le clausole essenziali da includere nel non-disclosure agreement

Per quanto le parti possano prevedere specifiche clausole negoziali in base alle loro concrete esigenze, gli accordi sono connotati dalla presenza di alcuni elementi tipici:

• Lo scopo o le circostanze in base alle quali una parte viene a conoscenza di determinate informazioni; tale indicazione è importante in quanto rappresenta i confini entro i quali le informazioni confidenziali devono essere mantenute riservate.
• L’indicazione delle informazioni confidenziali oggetto dell’impegno alla riservatezza.
• L’indicazione di particolari obblighi per le parti o per una di esse come, ad esempio, la necessità di adottare particolari misure di sicurezza (tecniche od organizzative) per la tutela delle informazioni.
• I soggetti tenuti alla non divulgazione.
• Eventuali eccezioni rispetto all’obbligo di riservatezza.
• La durata temporale dell’obbligo.
• L’indicazione delle sanzioni in caso di eventuali violazioni dell’accordo, nonché del foro competente per le controversie e, nel caso di contratti internazionali, la legge che disciplina l’accordo.

L’importanza di definire chiaramente la durata dell’Accordo di Riservatezza

Tra gli elementi appena visti, oltre allo scopo e al perimetro delle informazioni confidenziali, appare particolarmente importante la definizione all’interno dell’accordo di riservatezza della sua durata, ossia stabilire un limite temporale (es. la sottoscrizione del contratto definitivo – nel quale prevedere poi una specifica clausola di riservatezza – a seguito della presentazione di una preliminare offerta) entro il quale vincolare l’uso delle informazioni.

La durata risulta variabile, potendo essere ancorata a un termine fisso oppure connessa alla durata del progetto. Inoltre, potrebbe estendersi anche oltre la durata del rapporto, per un periodo successivo alla sua cessazione.

Come gestire le violazioni dell’Accordo di riservatezza

Generalmente, per la gestione di eventuali violazioni derivanti dal mancato rispetto dell’accordo, quest’ultimo può prevedere una clausola penale (art. 1382 c.c.) per la predeterminazione del risarcimento del danno.

Oltre alla funzione di deterrenza, la penale risulta utile a stabilire ex ante l’entità del risarcimento, che sovente può risultare difficile da quantificare per i danni causati dalla violazione dell’obbligo di riservatezza. Proprio per questo occorre prestare attenzione alla sua determinazione, per evitare che risulti insufficiente a coprire il danno subìto: per tutela rispetto all’ipotesi in cui il danno superi l’importo della penale appare opportuno fare salvo il risarcimento del maggior danno eventualmente subìto.

La responsabilità delle parti coinvolte nel mantenere la riservatezza delle informazioni

La parte (o ciascuna delle parti, nel caso ad esempio di obblighi reciproci) impegnata alla riservatezza deve rispettare la confidenzialità delle informazioni a essa trasmesse o da questa conosciute durante lo svolgimento di un determinato incarico.

Ciò, salvo specifiche indicazioni contenute nell’accordo in tema di misure di sicurezza organizzative, avviene principalmente attraverso un’autorizzazione rivolta ai propri dipendenti o collaboratori che svolgono le attività nelle quali le informazioni risultano coinvolte.

Ad esempio, nella già menzionata ipotesi dell’impresa di pulizie è doveroso che quest’ultima, nei confronti dei propri dipendenti o collaboratori che svolgeranno le attività (e che dunque possono potenzialmente venire a conoscenza di informazioni e dati personali), provveda a formalizzare una nomina come soggetti designati (art. 2-quaterdecies D. Lgs. 196/2003 s.m.i.) o autorizzati (art. 4, punto 10, GDPR). Inoltre, alla luce di quanto previsto ex art. 32, comma 4, GDPR, è opportuno che provveda allo svolgimento di una specifica attività formativa comprensiva delle necessarie istruzioni, al fine di ottemperare correttamente agli obblighi.

Le eccezioni all’Accordo di riservatezza: quando è consentito divulgare le informazioni

Vi sono ipotesi in cui la parte impegnata alla riservatezza non risulta inadempiente anche in caso di comunicazione all’esterno delle informazioni confidenziali: è il caso, ad esempio, in cui ciò sia richiesto alla luce di vincoli di legge o a seguito di richieste da parte dell’autorità giudiziaria.

Inoltre, l’accordo di riservatezza non può comprendere informazioni di dominio pubblico; informazioni rese alle parti da fonti esterne non vincolate dall’accordo stesso; informazioni che la parte dimostri già di conoscere al momento di conclusione dell’accordo.

Infine, non appare opportuno vincolare alla riservatezza mediante uno specifico accordo figure professionali come quelle dell’avvocato o del commercialista, già di per sé obbligate a mantenere in generale il riserbo sulle informazioni dei propri clienti, in ragione dei vincoli a loro dettati dai codici deontologici delle rispettive categorie professionali.

Consigli pratici per la gestione del non-disclosure agreement

Oltre alla richiamata necessità per la parte tenuta al rispetto degli obblighi di riservatezza di prevedere al proprio interno adeguate misure di sicurezza sotto il profilo organizzativo, medesima indicazione può essere rivolta alla parte rivelante le informazioni.

Innanzitutto, occorre sottolineare come, ad esempio, l’accordo che impegna l’impresa di pulizie a non divulgare le informazioni o i dati personali eventualmente conosciuti dai propri addetti durante lo svolgimento delle proprie attività nei locali aziendali, non solleva comunque l’azienda committente (nella sua qualità di titolare del trattamento delle informazioni di carattere personale) dal mettere in atto misure di sicurezza adeguate, nel pieno rispetto del principio di accountability ex art. 24 GDPR.

Pertanto, in buona sostanza, il documento di cui l’addetto alle pulizie potrebbe avere conoscenza non dovrebbe nemmeno risultare a lui disponibile (es. lasciato incustodito sulla scrivania), quanto piuttosto essere conservato in un archivio chiuso a chiave. Nella diversa ipotesi di trasferimento di know-how al fine di ottenere un’offerta relativa a un servizio, qualora tale scopo risultasse raggiungibile – almeno a un preliminare livello generale – evitando l’immediata trasmissione di informazioni confidenziali dettagliate, potrebbe risultare utile ricorrere al preventivo invio di un “blind profile” col fine di ricorrere soltanto in un secondo momento alla messa a disposizione di informazioni riservate e, di riflesso, all’accordo col quale viene responsabilizzata la parte ricevente.

___

Note

[1] Per la definizione di “dato personale” cfr. art. 4, punto 1, GDPR.

[2] Linee guida 7/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, adottate il 7 luglio 2021.

[3] Cfr. con il primo esempio del punto 89 delle Linee guida EDPB 7/2020 sopra richiamate.