Accordi di riservatezza: quando l’NDA non basta

In un contesto aziendale sempre più competitivo, la protezione dei dati, delle idee, dei progetti e dei know-how è sempre più rilevante. Uno degli strumenti più utilizzati a questo scopo è l’NDA (Non-Disclosure Agreement), cioè l’accordo di riservatezza.

Cos’è l’NDA?

Un NDA è un contratto con cui le parti si impegnano a non divulgare o usare impropriamente informazioni riservate condivise durante una collaborazione o un progetto. Stabilisce che, tutto ciò che si apprende nel rapporto, deve restare confidenziale. Tuttavia, da solo non basta a garantire la sicurezza: per essere davvero efficace deve essere integrato da processi, tecnologie e comportamenti adeguati.

Di seguito analizzeremo questi elementi in modo strutturato, evidenziando ruoli, responsabilità e strumenti necessari per garantire una tutela effettiva del patrimonio informativo.

Un ecosistema di tutela che coinvolge tutta la filiera

Le informazioni riservate transitano di norma su una filiera piuttosto ampia, andando a coinvolgere un elevato numero di soggetti. Queste vengono gestite da dipendenti, consulenti, fornitori, partner, stagisti, organismi di controllo e talvolta persino clienti e possibili investitori.

A tal proposito, è necessario prevedere per ciascuna di queste figure delle misure di controllo proporzionate al ruolo e al livello di esposizione del rischio di divulgazione non autorizzata.

Il primo livello di controllo: le misure tecniche

Risulta quindi necessario prevedere misure di controllo sia di tipo fisico che logico. Queste misure possono prevedere l’uso di sistemi di autenticazione adeguati, profilazione dettagliata degli utenti e crittografia dei dati sensibili, oltre ad assegnare privilegi solamente a chi ne ha effettivo bisogno.

Un ruolo cruciale è anche svolto dai sistemi SOC e dai sistemi di monitoraggio capaci di rilevare comportamenti anomali. Oltre a ciò permettono anche di conservare log, i quali risultano essenziali per ricostruire eventuali violazioni.

La formazione: la persona al centro

Altro aspetto fondamentale riguarda la consapevolezza dei soggetti che entrano in contatto con queste informazioni. La formazione ha come obiettivo quello di spiegare cosa è confidenziale, quali usi sono consentiti e quali comportamenti costituiscono una violazione.

Utilizzando i sistemi di monitoraggio quindi è possibile prevenire usi impropri e rafforzare la cultura aziendale tutelandone il know-how.

Misure organizzative: regole, processi e procedure

Oltre ad informare i propri dipendenti è necessario prevedere un insieme strutturato di procedure interne, come ad esempio la classificazione delle informazioni, l’adozione di regole d’uso, la conservazione e la condivisione di dati sensibili. Inoltre, è necessario prevedere delle procedure chiare sulla restituzione e cancellazione delle informazioni.

Risulta infine importante assicurarsi che gli NDA siano allineati agli altri strumenti contrattuali e tutte le misure adottate devono integrarsi in un framework conforme al GDPR.

Sistema disciplinare e i canali di segnalazione

La protezione delle informazioni richiede un apparato disciplinare efficace e coerente con il Codice Etico e, se presente, il modello 231. Oltre a questo trovano applicazione i canali di whistleblowing al fine di intercettare più rapidamente i comportamenti rischiosi o illeciti.

Audit periodici: verificare per migliorare

Il rispetto dell’NDA deve essere verificato tramite audit periodici e mirati, soprattutto per i ruoli più esposti al rischio di divulgazione non autorizzata. Tutte le attività di audit devono essere svolte in modo trasparente e nel rispetto della privacy dei collaboratori.

Per concludere, il controllo del rispetto degli NDA è un adempimento che richiede un sistema efficacie ed integrato dalla tecnologia, dalla formazione, da controlli e fondato sulla cultura aziendale. Le misure che abbiamo descritto sono necessarie affinché l’NDA riesca a proteggere effettivamente il patrimonio informativo e a mantenere il vantaggio competitivo dell’organizzazione.

Fonte: Federprivacy – “Accordi di riservatezza: controllo del rispetto degli NDA in conformità al GDPR”

Proteggere il patrimonio informativo richiede competenze multidisciplinari. La business unit New-Consulting della Praolini Srl può aiutarti a valutare, migliorare e implementare le misure necessarie.

Contattaci per scoprire i nostri servizi di compliance integrata: ufficio@new-consulting.it