Nell’ambito della protezione del know-how aziendale, il recente provvedimento del Garante per la protezione dei dati personali, contenuto nell’ingiunzione n. 380 del 20 giugno 2024, ha messo in luce un aspetto cruciale: la protezione del know-how aziendale può, in alcuni casi, prevalere sui diritti di accesso previsti dal GDPR. Questo principio si rivela di grande importanza per le imprese, poiché il bilanciamento tra privacy e segretezza aziendale diventa fondamentale per evitare abusi e garantire un’adeguata protezione delle informazioni sensibili.

Il diritto di accesso e la tutela delle informazioni aziendali

L’articolo 15 del GDPR consente agli interessati, come clienti, fornitori o ex dipendenti, di richiedere accesso ai propri dati personali e alle informazioni sul loro trattamento. Tuttavia, il recente provvedimento del Garante chiarisce che tale diritto non è assoluto e può essere limitato per proteggere informazioni aziendali riservate. Secondo l’ingiunzione n. 380, se una richiesta di accesso comprende dati personali che sono anche informazioni aziendali protette, l’impresa ha il diritto di mantenere la riservatezza su tali informazioni, a condizione di dimostrare adeguatamente il rischio di compromettere il know-how aziendale.

La questione del bilanciamento e l’applicazione delle normative

Le imprese sono tenute a valutare se il rischio di rivelare segreti aziendali giustifichi il diniego di accesso a determinate informazioni. Questa valutazione deve essere effettuata con grande attenzione, poiché un errore può comportare sanzioni e problematiche legali. In caso di richieste di accesso che includono sia dati personali sia informazioni aziendali, le imprese devono essere in grado di fare una distinzione tra ciò che è legittimamente soggetto a protezione e ciò che può essere fornito senza compromettere la riservatezza aziendale.

Un esempio pratico di questa dinamica è fornito dal caso di una società di prodotti alimentari, che è stata multata di 10 mila euro per non aver fornito accesso a dati personali conservati su un computer aziendale. Tuttavia, i dati richiesti dall’ex dipendente erano di natura personale e non aziendale, come documentato dal Garante. Questo caso ha dimostrato che la tutela del know-how aziendale non può giustificare un diniego di accesso se i dati richiesti sono esclusivamente personali.

Il paragrafo 4 dell’articolo 15 del GDPR, che prevede che il diritto di accesso non deve ledere i diritti e le libertà di altri, implica anche che le imprese devono proteggere non solo i dati personali ma anche le informazioni aziendali riservate. Questo bilanciamento deve essere effettuato in modo ponderato, garantendo che le informazioni sensibili non siano rivelate, ma evitando al contempo di negare in modo pregiudiziale l’accesso ai dati personali che non contengono elementi riservati.

Obblighi delle imprese e tempistiche

Le imprese devono rispondere alle richieste di accesso entro un mese e fornire motivazioni dettagliate per eventuali dinieghi, includendo informazioni su come presentare reclamo al Garante o avviare un ricorso giurisdizionale. Se, al contrario, l’impresa non risponde o risponde una volta decorsi i tempi indicati dall’articolo 12 GDPR si espone alle sanzioni previste dal GDPR per omessa o ritardata risposta alla richiesta di accesso, anche quando abbia ragione nel merito a negare l’accesso

In sintesi, il recente provvedimento del Garante sottolinea che, sebbene la riservatezza aziendale sia un valore importante, deve essere bilanciata con il diritto di accesso ai dati personali. Le imprese devono effettuare una distinzione chiara tra dati personali e informazioni aziendali riservate e devono adottare un approccio equilibrato nel gestire le richieste di accesso, garantendo la protezione delle informazioni sensibili senza compromettere i diritti degli interessati. La chiave del successo in questo equilibrio risiede nella valutazione accurata delle informazioni e nella trasparenza nella comunicazione delle decisioni.