PMI, segreti commerciali e dati personali: le sinergie per la tutela del patrimonio informativo aziendale
Avv. Maria Roberta Perugini
Il tema del valore economico delle informazioni delinea i nuovi confini dell’attuale competizione commerciale, che si svolge in un contesto economico-sociale sempre più globale come risultato della “rivoluzione digitale”. Da anni l’Unione Europea sta perseguendo – e attuando, con l’adozione anche di misure legislative di allineamento tra gli Stati membri – una strategia di creazione ed espansione di un mercato unico digitale fondata sul fenomenale incentivo rappresentato dall’impiego delle nuove tecnologie e dal parallelo moltiplicarsi dei dati oggi disponibili, con la conseguente creazione di nuovi modelli organizzativi, basati anche su innovativi utilizzi delle informazioni.
Questi nuovi modelli oggi sono, e saranno sempre di più in prospettiva, l’asse portante dello sviluppo economico di settori produttivi chiave.
È quindi evidente come in questa economia basata su innovazione, velocità, globalizzazione e conoscenza, la materia prima più preziosa di un’organizzazione (prima ancora degli asset materiali e del capitale finanziario) sia il sapere, il cosiddetto ”capitale intellettuale”: capitale umano, organizzativo e relazionale costituito da conoscenze, dati e informazioni la cui aggregazione, analisi, interpretazione e uso permettono alle aziende di perseguire i propri obiettivi e di produrre valore, costruendo la propria differenziazione sul mercato.
Indice
- Il patrimonio informativo aziendale come chiave del vantaggio competitivo
- Gli strumenti per la protezione dell’informazione aziendale
- Effetti dell’accountability sulla protezione dell’intero patrimonio informativo aziendale: l’esempio del CRM
- I vantaggi della conformità al GDPR e la mitigazione del rischio
Oggi più che mai l’informazione è funzionale al governo della performance dell’impresa.
E quindi non stupisce ritrovare questo concetto proprio in apertura della Dir. Trade Secrets 2016/943/UE (recepita in Italia con il D.lgs. 63/2018 che ha modificato l’art. 98 del Codice della Proprietà Industriale), al considerando 1: “Le imprese (…) investono nell’acquisizione, nello sviluppo e nell’applicazione di know-how e informazioni, che sono la moneta di scambio dell’economia della conoscenza e forniscono un vantaggio competitivo. L’investimento nella produzione e nello sfruttamento del capitale intellettuale è un fattore determinante per la competitività e la capacità innovativa delle imprese sul mercato”.
Naturalmente il patrimonio informativo aziendale è costituito da categorie eterogenee di informazioni: estrapolando dal “capitale intellettuale” le componenti costituite dal know-how e dalle informazioni concernenti le persone fisiche – i “dati personali” –, e concentrando la nostra attenzione sulle relazioni che si possono instaurare tra di esse, è possibile assumere un’ottica di tutela dell’informazione di tipo trasversale, integrata, e di conseguenza capace di individuare e sfruttare le sinergie offerte dall’interazione degli strumenti di protezione (legislativi, logici, informatici, organizzativi) riferibili a ciascuna di queste categorie di informazioni.
Da dove nasce questa visione?
Dalla considerazione che non esiste alcuna normativa che obblighi un’impresa a tutelare il proprio capitale intellettuale, mentre esistono, invece, numerose normative che, nate con la finalità di tutelare interessi e diritti di terzi (ad esempio protezione dei dati personali, della salute e della sicurezza dei lavoratori, della continuità del servizio per le pubbliche amministrazioni o per il sistema bancario…), obbligano le organizzazioni a dotarsi di strumenti e misure di sicurezza che di fatto indirettamente tutelano anche tale capitale.
Ciò, peraltro, va ad aggiungersi agli strumenti di tipo legislativo a tutela della proprietà intellettuale e industriale (diritto d’autore, brevetti, marchi, know-how…).
L’attuale normativa europea in materia di protezione dei dati personali (GDPR), per le sue peculiarità, rende possibile un salto di qualità nel senso dell’interazione sinergica degli strumenti di protezione delle diverse categorie di informazioni, tra cui in particolare il know-how aziendale, cruciale strumento competitivo per le imprese.
Ricordiamo brevemente che il GDPR assume un approccio basato sulla prevenzione del rischio – che nello specifico è quello della violazione di dati personali –, il cui strumento principale è il principio di accountability, integrato con quelli di privacy by design e by default.
Il sistema infatti pone al soggetto attivo del trattamento un obiettivo generale: sviluppare un modello di governance dei dati personali che consenta – da un lato – la progettazione, attuazione e controllo del trattamento nell’ottica di un’adeguata ed efficace prevenzione del rischio e– dall’altro lato – di dimostrare che il trattamento è conforme alle norme.
È dunque proprio l’accountability che porta alla necessità di regolare preventivamente tutte le azioni progettate e attuate, compresi i controlli, per garantire l’efficacia del percorso costruito e poterne dimostrare in sede difensiva la conformità al GDPR.
A questo scopo, si rivela essenziale una rigorosa formalizzazione documentale dei ruoli e delle regole di trattamento: in un sistema produttivo in cui è estremamente diffuso la l’outsourcing, e dunque caratterizzato dalla moltiplicazione di rapporti tra un ampio numero di soggetti agenti (titolare, contitolari, responsabili e sub-responsabili), è molto facile perdere il controllo di informazioni preziose per l’azienda.
- Effetti dell’accountability sulla protezione dell’intero patrimonio informativo aziendale: l’esempio del CRM
Si capisce dunque come lo schema introdotto dal GDPR valorizzi in modo estremo la responsabilità individuale, spingendo ciascun attore del trattamento – nei limiti del proprio ruolo formale ed operativo – ad agire nell’ottica della protezione delle informazioni.
Informazioni che nello specifico consistono in dati personali, a cui però nei processi aziendali sono indissolubilmente connessi altri tipi di informazioni, tra cui anche quelle strategiche sotto il profilo commerciale, industriale o tecnologico: come le informazioni su clienti e fornitori, ma anche quelle relative a piani aziendali e strategie di mercato, oppure a sistemi produttivi o di analisi.
Ad esempio, nessuno può mettere in dubbio la strategicità per qualsiasi impresa di strumenti come il CRM e il database promozionale, né che le informazioni che questi strumenti ci aiutano a gestire appartengano a pieno titolo al patrimonio informativo aziendale.
La loro operatività è il risultato della cooperazione integrata di diverse funzioni dell’azienda: tra queste, perlomeno il marketing, il customer service, le vendite, il supporto tecnico; e il relativo valore per l’azienda è correlato molto strettamente all’interazione armonica di tutti gli elementi di cui si compongono: i dati primari immessi (acquisiti direttamente dall’azienda o tramite terzi, ad esempio list broker), ma anche la corretta impostazione e funzionamento delle infrastrutture di raccolta, analisi, aggregazione, misurazione e profilazione di dati e risultati che questi sistemi applicano.
E naturalmente, fondamentale elemento di valore è la riservatezza che accompagna lo sviluppo e utilizzo di tali strumenti in un determinato ambiente.
Se qualcuna di queste componenti non è impostata correttamente o non coopera coerentemente con le altre, i risultati finali rischiano di non essere attendibili, addirittura di essere inutilizzabili, provocando danno all’azienda sotto diversi profili.
In particolare, le modalità della raccolta delle informazioni “primarie” immesse in tali database ne condizioneranno fortemente la possibilità di utilizzo, con il rischio di vanificare gli sforzi fatti per l’implementazione delle altre componenti: è inutile investire in tecnologia altamente performante se poi non si ha il controllo della filiera della raccolta.
Ma per garantire tale controllo è necessario avere prima di tutto individuato in modo chiaro e univoco gli obiettivi e le caratteristiche commerciali dell’azione di raccolta, e dunque le attività che ne compongono il processo.
Di conseguenza è necessario perlomeno:
- averne definito la finalità; ad esempio: implementazione / arricchimento / aggiornamento / validazione del DB promozionale, fund raising piuttosto che fidelizzazione di clientela già attiva, lancio di un nuovo prodotto, ampliamento del mercato …;
- avere definito la tipologia di azione/modalità: direct marketing, telemarketing, email marketing, web marketing, social marketing, mobile marketing, operazioni a premio, tecniche di face to face…
- avere individuato il target cui rivolgere l’azione: innanzitutto se clienti o prospect, e il relativo cluster, evidenziando particolari categorie critiche (es. minori)
- avere definito gli aspetti organizzativi: ad esempio, raccolta diretta, tramite propri incaricati oppure tramite organizzazioni terze responsabili; raccolta presso terzi list broker; raccolta da elenchi pubblici…
Definiti gli elementi chiave del progetto, dovranno essere individuate e attuate le conseguenti azioni di prevenzione del rischio di violazione dei dati personali che saranno oggetto di trattamento; per garantirne l’efficacia, e potere dimostrare in sede difensiva la conformità del trattamento al GDPR, tutte le azioni dovranno essere regolate preventivamente mediante apposite procedure che ne dettaglino i processi.
Dunque, nell’esempio fatto, raggiungere l’obiettivo fissato dal GDPR consente di introdurre nel nostro CRM nuove informazioni corrette e legittimamente utilizzabili per le azioni commerciali progettate: senz’altro possiamo individuare un diretto incremento del valore del nostro CRM e indirettamente un vantaggio derivante dalla possibilità di operare secondo le strategie commerciali scelte evitando o comunque mitigando in modo sensibile i rischi legati a possibili contenziosi o sanzioni e altre conseguenze onerose (ad esempio, interruzioni del business dovute a inibitorie di utilizzo del database), e invece avvantaggiandosi delle conseguenze positive: per esempio, in termini di immagine, guadagnandosi la fiducia del mercato.
Ma, oltre a ciò, bisogna considerare che le attività preventive (analisi, selezione, valutazione e procedimentalizzazione delle azioni) che sono state attuate per raggiungere questo risultato favoriscono una esplicita codificazione, e dunque piena consapevolezza e ripetibilità da parte dell’impresa, delle tecniche e dei meccanismi applicati ma anche delle competenze e dell’esperienza necessarie per operare correttamente e ottenere dal proprio CRM i risultati desiderati.
Ciò che si vuole sottolineare è che quando si parla di patrimonio informativo aziendale non bisogna pensare solo a dati, personali o di altro genere, quindi a informazioni strutturate, ma anche alle conoscenze che consentono di creare altri dati.
Queste conoscenze possono essere parte del know-how commerciale o tecnologico, come sono – nell’esempio del CRM – le logiche che guidano l’analisi e l’aggregazione tra le informazioni primarie dalla cui elaborazione scaturiscono informazioni nuove – ma possono anche consistere in competenze ed esperienza specifica acquisite dai dipendenti dell’impresa nel corso del normale svolgimento dell’attività lavorativa, le quali di per sé non godrebbero della protezione attribuita dalla legge al know-how ma che hanno comunque un ruolo fondamentale per la competitività delle imprese.
Il rischio che queste ultime si perdano – perché restano personali, non sono condivise e formalizzate – quando le persone cui appartengono lasciano l’organizzazione, oppure che si disperdano perché non sono mantenute adeguatamente riservate, è molto alto… invece, le azioni assunte per la conformità al GDPR in un’ottica di accountability favoriscono la tutela del complessivo patrimonio informativo aziendale connesso al CRM.
Questa protezione passerà senz’altro da:
- un’accurata individuazione dei passaggi che conducono all’immissione dei dati “primari” (come si è detto),
- ma anche da una rigorosa organizzazione e formalizzazione dei processi di sviluppo e di utilizzo del CRM e delle sue componenti da parte delle diverse funzioni aziendali, comprensive della relativa assegnazione di compiti, poteri, deleghe e della stipula – ove opportuno – di patti di non concorrenza,
- nonché dalla predisposizione di azioni di controllo dell’effettivo rispetto di tali processi.
Queste azioni, obbligatorie nell’ottica della protezione dei dati personali di terzi, divengono di fatto strumentali anche alla valorizzazione ed alla difesa delle informazioni aziendali di altro genere.
Riproduzione Riservata
Ultimi articoli del blog
- SERVIZI CLOUD E LOGICHE AS A SERVICE – Verso una più equa distribuzione del rischio contrattuale e nuove tutele30 Aprile 2021 - 11:13
- Report del Parlamento Europeo del 5 Ottobre su AI Liability10 Ottobre 2020 - 18:20
- Il contratto di Cloud Computing: dati, diritto, nuove tutele.3 Aprile 2022 - 17:05
- LH ROMA LEX DRINK COOK YOUR COOKIES9 Dicembre 2021 - 18:17
- LEGAL INNOVATION CONFERENCE RAFFAELLA AGHEMO26 Novembre 2021 - 18:44
Dove Siamo
Iusintech
Via Vincenzo Bellini, 10
20122 Milano (Italia)
Email: hello@iusintech.com
Skype: iusintech
Telefono: +39.02.799.991