Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

compliance

Operazioni straordinarie: cosa sono e perché contano per le aziende

Home Industry 4.0/Innovazione in azienda
Partecipa al dibattito
Indirizzo copiato

Le operazioni straordinarie aiutano aziende di ogni dimensione a cambiare struttura e forma giuridica. Fusioni, trasformazioni, aumenti di capitale e liquidazioni richiedono analisi legali e fiscali. La conformità normativa e la due diligence diventano centrali in ottica di compliance integrata

Pubblicato il 18 feb 2026
Sergio Aracu

Founding Partner di Area Legale S.r.l.

Agnese Micozzi

Avvocato Area Legale S.r.l.

pseudonimizzazione dei dati Data Act e PMI governance algoritmica dati pseudonimizzati in sanità
AI Questions Icon
Chiedi allʼAI Nextwork360
Riassumi questo articolo
Approfondisci con altre fonti

Nel perimetro delle Operazioni Straordinarie, la crescita aziendale passa sempre più dalla capacità di governare conformità, dati e processi. È un terreno dove strategia e regole si incontrano, e dove la due diligence diventa parte integrante del valore dell’operazione.

Gestire i dati personali nelle fusioni e cessioni aziendali: guida pratica

Operazioni straordinarie e logiche di mercato

Che si tratti di piccole realtà in espansione, di startup o di grandi gruppi societari, la crescita delle aziende passa anche per operazioni che, in qualche modo, vanno a modificarne l’impostazione originaria a livello di struttura o forma giuridica.
Il fine è quello di adattarsi ad esigenze strategiche di business e, in generale, di seguire al meglio le logiche di mercato.
La famiglia delle cosiddette Operazioni Straordinarie ricomprende in sé le attività di fusione tra due o più Società, la trasformazione di un modello societario, con modifica della forma giuridica (ad esempio il passaggio da S.r.l. a S.p.A.), l’aumento di capitale sociale attraverso conferimenti di acquisizione di altre aziende o di rami di azienda, la fusione di due Società per incorporazione (acquisizione) dell’una nell’altra o mediante la creazione di una nuova entità (merger), nonché casistiche di cessazione dell’attività di impresa, tra le quali possiamo citare la liquidazione.
Le Operazioni Straordinarie sono oggetto di specifica expertise, e coinvolgono professionisti sia dell’ambito legale che dell’ambito commercialistico, dovendo valutare e analizzare diversi aspetti: clausole contrattuali, accordi di riservatezza, patti parasociali, profili tributaristici e fiscali.
Le Operazioni Straordinarie, quindi, sono costituite da diverse fasi, che compongono un processo volto a raggiungere il risultato di volta in volta concordato (modifica giuridica, fusione etc..). Una delle fasi fondamentali per la buona riuscita delle Operazioni stesse è la verifica della conformità, ossia la verifica della corrispondenza delle attività alle normative applicabili, oltre che a quanto contrattato.
La conformità, in una operazione straordinaria, può avere molteplici sfaccettature e, come ben sa chi si occupa “a tempo pieno” di M&A, insiste sia sulla operazione in sé (che, appunto, deve avvenire nel pieno rispetto di molteplici normative) che, in molti casi di operazioni straordinarie, sulla verifica (due diligence) della situazione in cui versa l’entità con cui ci si confronta.
Come si può già facilmente intuire, l’approccio di conformità ad una operazione straordinaria integra a pieno il concetto ormai molto in voga di “compliance integrata”.
Facciamo qualche esempio pratico.
Esempi pratici di operazioni straordinarie che comportano criticità in ambiti peculiari di conformità

Cessione di ramo d’azienda: asset, persone e prime criticità

Uno dei casi più frequenti di operazione straordinaria nella vita di una impresa, è l’acquisizione (o la cessione) di un ramo di azienda.
Con questo strumento le aziende accrescono la propria dimensione andando a fare proprio un sistema di asset – materiali ed immateriali – clientela e capitale umano proveniente da un’altra impresa.
Nonostante questa operazione sia, come detto, una tra le più frequenti, essa è tra quelle che comportano maggiori criticità sotto gli aspetti della conformità ad alcune normative, non ultima quella in materia di protezione dei dati personali.
Vengono infatti impattate, spesso e volentieri, molteplici categorie di interessati, ad esempio: dipendenti e clienti facenti capo al ramo oggetto di acquisizione.
Durante la verifica della conformità, ecco che si andrà dapprima a verificare lo stato in cui versa l’entità oggetto di cessione del ramo e quindi se il suo impianto organizzativo è in regola con le normative di volta in volta applicabili, eseguendo la c.d. due diligence.Al fine poi di consentire in concreto lo svolgimento delle attività di cessione, si renderà necessario procedere al trasferimento di dati, sia di tipo societario che personale. Con riferimento ai dati personali, per quanto possa sembrare strano, si vedono ancora moltissime storture rispetto alla scelta degli strumenti forniti all’uopo dal GDPR e Codice Privacy, ad esempio rispetto alle basi di legittimità del trattamento, al rilascio delle informative e in generale al rispetto delle incombenze di trasparenza e, last but not least, in merito alla impostazione dei c.d. ruoli privacy.
È innegabile che, nella cessione di un ramo di azienda, la necessità di trasferire i dati da una società (cedente) all’altra (cessionaria) sia legata a molteplici finalità, spesso molto differenti tra di loro.
Sovente, vi è la necessità per il cessionario di acquisire una serie di informazioni molto specifiche (diremmo “puntuali”) sui singoli interessati – che siano i dipendenti che fanno parte del ramo, magari anche solo per preparare le matricole e le lettere di assunzione o che siano clienti, per predisporre una continuità di gestione amministrativa e di erogazione del servizio – sin dal c.d. giorno zero.

GDPR e trasferimento dati: base giuridica e principio di necessità

È qui che qui vengono fuori profili operativi critici, in primis, sotto l’aspetto della scelta della corretta base giuridica a legittimazione del trasferimento. Questa, a parere di chi scrive, andrà probabilmente individuata nel legittimo interesse del terzo cessionario, ad esempio a garantire una corretta gestione del rapporto contrattuale dei dipendenti coinvolti nella cessione stessa o a garantire la continuità dei servizi offerti ai Clienti.
Più complesso (e da valutare caso per caso) sarà invece inquadrare detta base giuridica in una necessità di tipo “contrattuale” ossia all’esecuzione di misure contrattuali prevista dall’art. 6, comma 1, lett. b) del GDPR, considerando la stringente lettura del principio di “necessità” imposta dallo Europea Data Protection Board, limitata a quanto strettamente necessario per una corretta esecuzione del contratto.
Infatti, non è sempre considerabile come “strettamente necessaria” la comunicazione anticipata dei dati personali rispetto alla data di efficacia dell’accordo o addirittura (come spesso accade) rispetto alla data di conclusione dell’accordo stesso.
Quanto sopra vale soprattutto tenuto conto dell’altissima percentuale di accordi saltati proprio nelle fasi immediatamente precedenti il closing.

Legittimo interesse, LIA e ruoli privacy: i nodi operativi

Non solo, anche ove si dovesse propendere per la base giuridica del legittimo interesse, occorre ricordare che anche quest’ultimo deve essere oggetto di attenta valutazione e in particolare deve essere bilanciato tramite lo svolgimento di apposito LIA (Legitimate Interest Assessment) garantendo sempre la possibilità di opposizione agli interessati, i quali dovranno essere preventivamente informati Al riguardo, ci si deve chiedere:

Le domande operative su opposizione e riservatezza

  • Come gestire eventuali opposizioni garantendo l’esercizio del diritto in questione in capo agli interessati?
  • Come conciliare le necessità di estrema riservatezza che, spesso e volentieri, accompagnano le operazioni come quella di cui ci stiamo occupando?
    Fortunatamente il GDPR offre soluzioni ad entrambe le criticità e starà ai consulenti o alle strutture interne preposte dipanare la matassa, sviluppando e implementando soluzioni circostanziate caso per caso.
    Ulteriore aspetto che, a distanza di ben otto anni dall’entrata in vigore del GDPR non ci si aspetterebbe di dover prendere in considerazione, è quello legato alla errata impostazione dei ruoli privacy. Sin troppo spesso, infatti, ci si imbatte in inesplicabili nomine a Responsabile del trattamento da parte del cedente a favore del cessionari o in altrettanto improbabili accordi di Contitolarità.
    A riguardo, non si può che far riferimento ad una corretta valutazione della paternità delle rispettive finalità del trattamento e richiamare, ove necessario, le linee guida European Data Protection Board n. 7/2020 del 7 luglio 2021 sui ruoli privacy.

Due diligence su dati e intelligenza artificiale: AI Act e legge 132/2025

Tornando alle fasi del processo di cessione, cosa fare in più riguardo le verifiche di conformità da inserire all’interno della due diligence sul ramo in via di acquisizione?
Sarò sicuramente necessario verificare in modo accurato la conformità del ramo in via di acquisizione oltre che rispetto alla disciplina in materia di protezione dei dati personali anche la normativa relativa all’intelligenza artificiale, non solo per evitare future possibili sanzioni in caso di processi impostati in modo errato ma, altresì (e diremmo “soprattutto”) per accertarsi di poter sfruttare in modo pieno gli asset di dati che il ramo porta con sé.
Vediamo qui di seguito quali, e sotto quali aspetti la protezione dei dati personali incide in fase di due diligence.
Aspetti chiave di verifica sugli asset immateriali

Fino a pochi anni fa, gli asset immateriali su cui si concentrava la verifica di conformità (e la valutazione) erano indubbiamente attinenti alla sfera della proprietà intellettuale (quindi marchi e brevetti) ed alla composizione\qualità dei data set utilizzabili per finalità di ricerca o per finalità di direct marketing.
Rispetto alla composizione e alla qualità dei data set costituiti da dati personali, sicuramente sarà mandatorio verificare che la loro raccolta sia avvenuta in piena conformità al GDPR, al Codice Privacy e ad ogni altra normativa applicabile.
In caso contrario, il rischio sarebbe quello di incorrere nella loro inutilizzabilità e quindi nell’impossibilità di farne oggetto di acquisizione, nell’ipotesi di raccolta di dati personali illecita.
A ciò, oggi, si aggiunge la delicata necessità di ponderare la conformità degli asset costituiti da sistemi di intelligenza artificiale, alla luce della stringente disciplina dettata, a livello europeo, dallAI Act e, a livello nazionale, anche dalla Legge in materia di intelligenza artificiale, n. 132/2025.

Soluzioni operative e compliance by design nel deal

Soluzioni operative

Alle varie soluzioni tecnologiche che il mercato offre (tool di due diligence, in particolare), come nostra indole, tendiamo a preferire (anzi, a indicare come prioritaria) l’impostazione di soluzioni di tipo organizzativo.
Le operazioni straordinarie sono uno degli ambiti in cui il concetto di “compliance by design” è meglio applicato ma, spesso, si omette di coinvolgere sin dalla progettazione dell’operazione figure chiave come quella del DPO, del Consulente Privacy, di esperti in AI Regulation, di esperti in Proprietà Intellettuale e di diritto dei Consumatori, per dare la precedenza a Legali d’affari, Commercialisti, Tributaristi, Giuslavoristi, per quanto anch’essi ovviamente essenziali ai tavoli “tecnici” di contrattazione.
Coinvolgere le figure deputate alle compliance “specifiche” solo in fase prossima al closing, può rivelarsi fatale sotto moltissimi aspetti, anche relazionali, al punto da far saltare intere operazioni dopo settimane (o più spesso interi mesi) di contrattazioni serrate.
Mettendo immediatamente al tavolo tutti gli interlocutori necessari, si avrà la ragionevole certezza di non andare incontro a sorprese inaspettate in fasi particolarmente delicate dell’operazione, oltre che a meglio valutare il valore e quindi la qualità dell’operazione straordinaria stessa.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Sergio Aracu
Founding Partner di Area Legale S.r.l.
Seguimi su
M
Agnese Micozzi
Avvocato Area Legale S.r.l.
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • sicurezza IA

  • competitività

    Sostenibilità e compliance nell’IA: sinergie tra AI Act e ISO 42001

    24 Giu 2025

    di Davide Giribaldi

    Condividi
  • personalizzazione dell'intelligenza artificiale dipendenza da intelligenza artificiale GenAI in azienda collaborazione clinica digitale

  • scenari

    GenAI aziendale: solo se affidabile, sicura e sovrana

    12 Ago 2025

    di Alberto Adorini

    Condividi
  • parlamento UE sovranità digitale; tassa pacchi

  • lo studio

    L’Europa divisa dall’IA: ecco dove le imprese la usano davvero

    29 Set 2025

    di Giovanni Tridente

    Condividi
0
Lascia un commento, la tua opinione conta.x