Un tuo sviluppatore si dimette e passa alla concorrenza. Due settimane dopo, scopri che il competitor ha lanciato una funzionalità identica a quella su cui il tuo team lavorava da mesi. Oppure: il tuo e-commerce manager lascia l’azienda e improvvisamente le tue campagne pubblicitarie vengono replicate da un brand rivale, con gli stessi segmenti di pubblico e le stesse leve di prezzo.
Sono situazioni sempre più frequenti. Allora è il caso di chiedersi:
“Posso fare qualcosa?“
La risposta dipende da come ti sei tutelato prima.
Il patto di riservatezza per dipendenti serve proprio a questo:
- definire con chiarezza quali informazioni sono riservate,
- quali obblighi ha chi lavora con te,
- cosa succede se questi obblighi vengono violati.
Per i dipendenti subordinati esiste già un obbligo di legge (l’Art. 2105 del Codice Civile), ma spesso non basta.
Vediamo come funziona il patto di riservatezza nel rapporto di lavoro subordinato, quali clausole inserire se operi nel settore digital, come gestire l’uscita di un dipendente e cosa fare in caso di violazione.
CONTENUTO DELL'ARTICOLO
- 1 Cos’è il patto di riservatezza per dipendenti
- 2 Obbligo di riservatezza: cosa cambia tra dipendenti e collaboratori
- 3 Cosa inserire nel patto di riservatezza per aziende digital
- 4 Quanto dura l’obbligo di riservatezza dopo la fine del rapporto di lavoro subordinato?
- 5 Quando il dipendente lascia: come gestire la riservatezza in uscita
- 6 Violazione del patto di riservatezza: conseguenze per il dipendente
- 7 Patto di riservatezza e patto di non concorrenza: le differenze
- 8 Proteggere il know-how della tua azienda parte da un contratto fatto bene
- 9 Domande frequenti sul patto di riservatezza per dipendenti
Cos’è il patto di riservatezza per dipendenti
Il patto di riservatezza per dipendenti è un accordo scritto tra datore di lavoro e lavoratore che vincola quest’ultimo a non divulgare determinate informazioni aziendali, né durante il rapporto di lavoro né dopo la sua cessazione.
L’oggetto del patto può includere: dati commerciali, liste clienti, strategie di marketing, informazioni tecniche, know-how operativo, codice sorgente, metodologie interne, piani di sviluppo prodotto. Tutto ciò che ha valore economico proprio perché non è di dominio pubblico.
Il patto stabilisce tre elementi fondamentali:
- Quali informazioni sono considerate riservate. Più l’elenco è specifico, più sarà facile far valere l’accordo in caso di violazione
- Quanto dura l’obbligo. Durante il rapporto di lavoro è scontato, ma il patto può estendere l’obbligo anche dopo dimissioni o licenziamento, per un periodo definito (tipicamente da 1 a 3 anni).
- Quali sono le conseguenze in caso di violazione. Sanzioni disciplinari, licenziamento, risarcimento danni, eventuali penali contrattuali.
A differenza di altri accordi di riservatezza con collaboratori esterni (fornitori, partner commerciali o potenziali investitori), il patto per dipendenti si inserisce in un rapporto già regolato dalla legge. Per i lavoratori subordinati, infatti, esiste un obbligo di riservatezza che nasce direttamente dal Codice Civile.
L’Art. 2105 del Codice Civile: l’obbligo di fedeltà esiste già per legge
“Non deve trattare affari, per conto proprio o di terzi, in concorrenza con l’imprenditore, né divulgare notizie attinenti all’organizzazione e ai metodi di produzione dell’impresa, o farne uso in modo da poter recare ad essa pregiudizio.”
Tradotto: il dipendente non può rivelare informazioni riservate dell’azienda, né usarle a proprio vantaggio o a vantaggio di terzi.
Questo obbligo vale automaticamente per tutta la durata del rapporto di lavoro. Dopo la cessazione, secondo la giurisprudenza (Cass. n. 8131/2017), l’obbligo permane finché l’informazione mantiene carattere di segretezza e l’imprenditore ha ancora interesse a proteggerla.
Perché serve comunque un accordo di riservatezza per dipendenti?
Se l’obbligo di riservatezza esiste già per legge, perché far firmare un accordo separato?
Perché l’Art. 2105 è una norma generale. Non specifica quali informazioni sono riservate, non definisce quanto tempo dura l’obbligo dopo le dimissioni, non chiarisce cosa succede in caso di violazione. In un eventuale contenzioso, questi vuoti possono diventare un problema.
Un patto di riservatezza scritto serve a:
- Identificare con precisione le informazioni protette. “Notizie attinenti all’organizzazione” è generico. “Database clienti, strategie di pricing, documentazione tecnica dei prodotti” è specifico e azionabile
- Estendere e definire la durata dell’obbligo post-cessazione. La legge dice “finché l’informazione è segreta”. Un patto può prevedere esplicitamente 2 o 3 anni, eliminando incertezze
- Rafforzare la tutela legale. Il D.Lgs. 63/2018 sui segreti commerciali richiede che l’azienda adotti “misure ragionevolmente adeguate” per proteggere le informazioni riservate. Un NDA firmato è una di queste misure e rafforza la posizione in caso di causa
- Creare consapevolezza e deterrenza. Un dipendente che firma un documento specifico sulla riservatezza è più consapevole dei propri obblighi rispetto a chi ha solo letto (forse) l’Art. 2105 nel contratto collettivo
- Facilitare l’enforcement. Se devi dimostrare che un ex dipendente sapeva che certe informazioni erano riservate, un patto firmato con elenco dettagliato è una prova molto più solida di un generico richiamo di legge.
Obbligo di riservatezza: cosa cambia tra dipendenti e collaboratori
Uno degli errori più frequenti è trattare allo stesso modo dipendenti e collaboratori esterni. Dal punto di vista della riservatezza, però, le regole sono completamente diverse.
Per i dipendenti subordinati l’Art. 2105 del Codice Civile si applica automaticamente. L’obbligo di riservatezza esiste per legge, dal primo giorno di lavoro. Il patto scritto non lo crea, ma lo rafforza: specifica cosa è riservato, per quanto tempo e con quali conseguenze.
Per i collaboratori esterni la situazione è opposta: nessun obbligo automatico. Senza un accordo scritto, non hai tutela.
Questo riguarda tutte le figure che tipicamente supportano un’azienda digital senza essere assunte: lo sviluppatore freelance che lavora sul tuo codice, il consulente marketing che accede alle tue campagne e ai dati di performance, il designer che vede i progetti in anteprima, il copywriter che conosce il tuo piano editoriale, il virtual assistant che gestisce email e CRM. Ognuno di loro, senza un NDA firmato, può tecnicamente utilizzare o condividere le informazioni a cui ha avuto accesso.
Lo stesso ragionamento vale per stagisti e tirocinanti: lo stage non è un rapporto di lavoro subordinato, quindi l’Art. 2105 non si applica. Serve una clausola nel progetto formativo oppure un accordo di riservatezza specifico.
| Aspetto | Dipendente subordinato | Collaboratore / Freelance |
| Obbligo automatico di riservatezza | Sì (Art. 2105 c.c.) | No |
| Patto scritto | Consigliato | Indispensabile |
| Durata obbligo | Rapporto + post-cessazione (se info ancora segrete) | Solo se previsto nel contratto |
| Conseguenze violazione | Sanzioni disciplinari, licenziamento, risarcimento | Risarcimento contrattuale |
| Possibili sanzioni penali | Sì (Art. 622-623 c.p.) | Sì (Art. 622-623 c.p.) |
Cosa inserire nel patto di riservatezza per aziende digital
I patti di riservatezza generici (quelli che si trovano online con formule come “tutte le informazioni relative all’attività aziendale”, per intenderci) offrono una tutela debole. Più il testo è vago, più sarà difficile dimostrare in giudizio cosa fosse effettivamente riservato e cosa il dipendente sapeva di non poter divulgare.
Per le aziende che operano nel digital, il patto deve elencare in modo specifico le categorie di informazioni da proteggere.
Codice sorgente, repository e documentazione tecnica
Se hai sviluppatori nel team, questa è probabilmente l’area più sensibile.
Il patto dovrebbe menzionare esplicitamente il codice sorgente di software, applicazioni e script, insieme agli accessi ai repository aziendali (GitHub, GitLab, Bitbucket). Va inclusa anche la documentazione tecnica: architettura di sistema, specifiche API, diagrammi funzionali. Senza dimenticare le credenziali degli ambienti di sviluppo, staging e produzione.
Una clausola efficace specifica anche il divieto di conservare copie locali del codice su dispositivi personali e l’obbligo di cancellare tutto alla cessazione del rapporto.
Database clienti, CRM e dati commerciali
Il CRM è uno degli asset più a rischio quando un dipendente lascia l’azienda. Non contiene solo anagrafiche: c’è lo storico delle trattative, le condizioni commerciali applicate a ciascun cliente, i comportamenti d’acquisto, le segmentazioni usate per le campagne.
Il patto deve chiarire che tutte queste informazioni sono riservate, incluse le trattative in corso e i contatti acquisiti durante il rapporto di lavoro. Quest’ultimo punto è importante: se un commerciale porta con sé i “suoi” contatti quando lascia, senza una clausola esplicita può essere difficile contestarlo.
Strategie marketing, funnel e know-how operativo
Per un’agenzia o un e-commerce, le strategie di marketing possono valere quanto il prodotto stesso. Un competitor che conosce i tuoi funnel, i tuoi costi di acquisizione, i tuoi segmenti più profittevoli ha un vantaggio enorme.
Rientrano in questa categoria i budget pubblicitari e la loro allocazione, le strategie di targeting, le performance delle campagne (CPA, ROAS, tassi di conversione), le automazioni di marketing, i processi operativi interni. Anche pitch e presentazioni commerciali andrebbero inclusi, soprattutto se contengono metodologie proprietarie.
Il know-how non formalizzato può essere protetto, a patto che il patto lo descriva con sufficiente precisione.
Credenziali, accessi e piattaforme SaaS
Durante il rapporto di lavoro, un dipendente accumula accessi a decine di piattaforme: Google Ads, Meta Business Suite, Analytics, Mailchimp, Shopify, tool di project management, hosting, DNS.
Il patto dovrebbe vietare di conservare credenziali su dispositivi o account personali, di creare accessi non autorizzati, e dovrebbe imporre l’uso di password manager aziendali. Alla cessazione del rapporto, tutti gli accessi vanno restituiti o revocati. Questa clausola funziona bene insieme a una procedura di offboarding strutturata (ne parliamo più avanti).
Quanto dura l’obbligo di riservatezza dopo la fine del rapporto di lavoro subordinato?
Durante il rapporto di lavoro, è tutto chiaro: il dipendente non può divulgare informazioni riservate. Ma cosa succede dopo le dimissioni o il licenziamento?
L’Art. 2105 del Codice Civile non fissa un termine. La giurisprudenza ha chiarito che l’obbligo permane finché l’informazione conserva due caratteristiche:
- È ancora segreta (non è diventata di dominio pubblico)
- Il datore di lavoro ha ancora un interesse economico a proteggerla (Cass. n. 8131/2017).
Nella pratica, però, questo criterio è difficile da applicare. Quando un’informazione smette di essere “segreta”? Chi lo stabilisce? In caso di contenzioso, diventa una questione di interpretazione.
Un patto scritto risolve il problema a monte, fissando una durata esplicita. I termini più comuni variano in base al tipo di informazione:
- 1 anno per procedure operative e conoscenze organizzative generali
- 2-3 anni per strategie commerciali, dati clienti, know-how tecnico specifico
- Durata maggiore per segreti industriali in senso stretto, come algoritmi proprietari o formule
Attenzione a non esagerare: una clausola che prevede 10 anni di riservatezza su informazioni operative ordinarie può essere considerata eccessiva e quindi nulla. La durata deve essere proporzionata alla natura delle informazioni e all’effettivo interesse dell’azienda a mantenerle riservate.
Quando il dipendente lascia: come gestire la riservatezza in uscita
Il patto di riservatezza serve a poco se, quando qualcuno lascia, nessuno verifica che venga rispettato. Eppure è proprio in quel momento che il rischio è più alto. L’ultimo giorno è spesso caotico, il dipendente ha ancora accesso a tutto, e in quella finestra può succedere di tutto: download massivi, export di liste clienti, copie su dispositivi personali.
Una procedura di offboarding strutturata riduce drasticamente questi rischi:
- Revoca immediata degli accessi. Il giorno stesso della cessazione vanno disattivati tutti gli account: email, cloud aziendale, CRM, piattaforme advertising, repository di codice. Se il dipendente usava credenziali condivise, vanno cambiate subito;
- Promemoria scritto degli obblighi. Una email che ricordi cosa resta riservato, per quanto tempo, quali conseguenze in caso di violazione. Va conservata nel fascicolo del dipendente: in caso di contenzioso, dimostra che l’azienda ha agito con diligenza;
- Restituzione e verifica dispositivi. Laptop, smartphone e dispositivi aziendali vanno restituiti e controllati. Per i dispositivi personali usati per lavoro, se il patto prevede la cancellazione dei dati aziendali, va richiesta conferma scritta.
Un verbale di riconsegna firmato chiude formalmente la procedura.
Violazione del patto di riservatezza: conseguenze per il dipendente
Quando un dipendente viola l’obbligo di riservatezza, il datore di lavoro può agire su più fronti.
Sul piano disciplinare, la violazione può giustificare il licenziamento per giusta causa, senza preavviso. La Cassazione ha confermato che anche il solo trafugamento di dati, senza prova di effettiva divulgazione a terzi, è sufficiente (Cass. n. 25147/2017). Lo stesso vale per gli accessi abusivi: la sentenza n. 7272/2024 ha ritenuto legittimo il licenziamento per accessi non autorizzati alla banca dati aziendale, anche senza dimostrazione di danno economico.
Sul piano civile, il datore può chiedere il risarcimento dei danni patrimoniali: perdita di clienti, vantaggio ottenuto dal concorrente, costi per rimediare alla fuga di informazioni. La quantificazione è spesso difficile, per questo è utile prevedere nel patto una penale contrattuale, cioè un importo predeterminato dovuto in caso di violazione.
Sul piano penale, nei casi più gravi può configurarsi il reato di rivelazione di segreti professionali (Art. 622 c.p.) o di segreti scientifici e industriali (Art. 623 c.p.). Serve però la prova del dolo e del nocumento causato dalla divulgazione.
In tutti i casi, prima di agire è fondamentale raccogliere prove: log degli accessi, cronologia download, comunicazioni. I controlli difensivi sono legittimi se mirati a verificare comportamenti illeciti già sospettati (Cass. 2023).
Patto di riservatezza e patto di non concorrenza: le differenze
Riservatezza e non concorrenza vengono spesso confusi, ma sono strumenti diversi che tutelano interessi diversi.
Il patto di riservatezza vieta di divulgare o utilizzare informazioni riservate dell’azienda. Non limita la libertà del dipendente di cambiare lavoro o di andare a lavorare per un concorrente: gli impedisce solo di portare con sé e sfruttare le informazioni riservate a cui ha avuto accesso.
Il patto di non concorrenza è più restrittivo: vieta al dipendente, per un certo periodo dopo la cessazione del rapporto, di svolgere attività in concorrenza con l’ex datore di lavoro. Limita quindi la libertà lavorativa, e proprio per questo la legge impone requisiti precisi, senza i quali il patto è nullo.
| Aspetto | Patto di riservatezza | Patto di non concorrenza |
| Cosa vieta | Divulgare informazioni riservate | Lavorare per concorrenti |
| Compenso obbligatorio | No | Sì |
| Forma scritta | Consigliata | Obbligatoria (pena nullità) |
| Durata massima | Finché l’info è segreta (o termine pattuito) | 3 anni (5 per dirigenti) |
| Limiti territoriali | No | Sì, devono essere definiti |
Quando servono entrambi?
Per ruoli strategici con accesso a informazioni sensibili e rischio reale che il dipendente passi a un concorrente diretto: CTO, responsabili marketing, direttori commerciali, figure chiave nello sviluppo prodotto. In questi casi, i due patti si integrano: la riservatezza protegge le informazioni, la non concorrenza impedisce che vengano sfruttate lavorando per chi compete sullo stesso mercato.
Proteggere il know-how della tua azienda parte da un contratto fatto bene
Il know-how è spesso l’asset più prezioso di un’azienda digital, e il più vulnerabile. Strategie, dati, codice, metodologie: tutto ciò che ti differenzia dai concorrenti può uscire dalla porta insieme a un dipendente che cambia lavoro.
Un patto di riservatezza ben scritto non elimina il rischio, ma ti mette nella condizione di agire se qualcosa va storto. E soprattutto, crea consapevolezza: chi firma sa cosa è riservato, per quanto tempo, e cosa succede se viola l’accordo.
I modelli generici che trovi online non bastano. Servono clausole specifiche per il tuo settore, per i ruoli coinvolti, per le informazioni che vuoi davvero proteggere.
Legal for Digital affianca aziende, agenzie ed e-commerce nella redazione di contratti su misura per il mondo digital, inclusi patti di riservatezza per dipendenti e collaboratori. Se vuoi capire come tutelare il tuo business, contattaci per una consulenza.
Domande frequenti sul patto di riservatezza per dipendenti
Il patto di riservatezza dipendente deve essere retribuito?
No, a differenza del patto di non concorrenza. L’obbligo di riservatezza non limita la possibilità di lavorare, quindi non richiede compenso specifico.
Quanto dura l’obbligo di riservatezza dopo le dimissioni?
Dipende da cosa prevede il patto. In assenza di indicazioni, l’obbligo permane finché l’informazione mantiene carattere di segretezza e valore economico. Consigliato: prevedere durata esplicita (1-3 anni).
Posso licenziare un dipendente che ha violato la riservatezza?
Sì, la violazione dell’obbligo di riservatezza può costituire giusta causa di licenziamento, anche senza prova di danno effettivo (Cass. n. 7272/2024).
Il patto di riservatezza vale anche per stagisti e tirocinanti?
Lo stage non è rapporto di lavoro subordinato, quindi l’Art. 2105 non si applica automaticamente. È fortemente consigliato far firmare un accordo di riservatezza specifico.
Cosa succede se il dipendente rifiuta di firmare il patto?
Se proposto in fase di assunzione, il rifiuto può essere motivo per non procedere. Se proposto durante il rapporto, non può essere imposto unilateralmente, ma il rifiuto può essere valutato nel contesto complessivo del rapporto.
Devo far firmare un patto diverso a ogni dipendente?
No, puoi usare un modello standard. Ma le clausole dovrebbero essere calibrate sul ruolo: uno sviluppatore accede a informazioni diverse da un addetto amministrativo.
Alessandro Vercellotti
Avvocato del Digitale, founder partner dello studio Legal for Digital, eletto studio dell'anno dal Sole 24 Ore e Corriere della Sera, speaker nei maggiori eventi del digitale d’Italia, eletto Digital Leader Forbes, formatore aziendale, docente, autore per Flaccovio Editore, co-founder del Social Warning Movimento Etico per l’educazione digitale.
Account Instagram bloccato: come riattivarlo con la giusta strategia legale
11 Marzo 2025Il blocco dell’account Instagram è un problema economico e reputazionale enorme per l’azienda che comunica online
Leggi altro
Dichiarazione di accessibilità: quali imprese devono farla, come va fatta e cosa rischi se non la fai
4 Agosto 2025La Dichiarazione di accessibilità è lo strumento attraverso cui le imprese obbligate rendono pubblico lo stato di accessibilità del loro sito web
Leggi altro
Accessibilità siti web 2025: guida agli obblighi, vantaggi e requisiti legali
13 Maggio 2025Un sito web accessibile è progettato e sviluppato in modo che possa essere utilizzato da persone con diverse abilità, inclusi coloro che hanno problemi di vista, udito, movimento o cognizione.
Leggi altro