M&A: come valutare l’impatto economico di rischi cyber e data breach - Agenda Digitale

fusioni e acquisizioni

M&A: come valutare l’impatto economico di rischi cyber e data breach

Ogni iniziativa imprenditoriale reca con sé un livello di rischio cyber. Per valutare in concreto la profittabilità dell’impresa, è necessario determinare (anche) l’impatto finanziario del rischio. Ecco cosa c’è da sapere nel contesto di un’operazione di M&A

29 Apr 2021
Giovanna Ianni

Avvocato, Partner Lexalia - Studio Legale e Tributario

Le società vengono valutate al giorno d’oggi non solo sulla base degli indici economici e di redditività commerciale ed industriale, ma anche alla luce delle modalità con cui proteggono il proprio patrimonio informativo e del grado di affidabilità loro riconosciuto da clienti e partner in tema di sicurezza informatica.

Il rischio cyber è infatti entrato ormai a pieno titolo tra i top tre rischi di ogni business con la conseguenza che l’implementazione e la gestione di strategie di cybersecurity devono considerarsi tra i principali obiettivi di proper management.

Tutto questo vale anche per le M&A, Mergers&Acquisitions, fusioni e acquisizioni.

“Cyber due diligence” sempre più centrale nelle operazioni M&A: ecco perché e come farla

L’EDPB sulle implicazioni delle concentrazioni per la vita privata

Interessante la posizione assunta dal Garante europeo con riferimento all’intenzione di Google LLC di acquisire Fitbit, Inc. ed al timore che “l’eventuale ulteriore combinazione e accumulo di dati personali sensibili riguardanti le persone in Europa da parte di una grande azienda tecnologica possa comportare un elevato livello di rischio per i diritti fondamentali alla vita privata e alla protezione dei dati personali”. Più precisamente, secondo l’EDPB “è essenziale valutare le implicazioni a lungo termine per la tutela dei diritti economici, dei diritti dei consumatori e dei diritti in materia di protezione dei dati” [2]

WHITEPAPER
I 5 errori che caratterizzano la gestione delle Risorse Umane nel Manufacturing
Risorse Umane/Organizzazione
Smart working

Facile comprendere, dunque, che, in assenza della giusta attenzione, la perdita di dati possa comportare una significativa riduzione del valore di una società target ed arrivare a compromettere le negoziazioni su una trattativa di vendita. La crescita esponenziale dei rischi potenziali – legali, finanziari, reputazionali e operativi – derivanti dal grado di compliance alle normative privacy (non solo GDPR), ai sistemi di cybersecurity ed alle comunicazioni di data breach agli interessati ed alle autorità coinvolte, non può essere sottovalutata né dagli imprenditori, né dai rispettivi consulenti nella conduzione di un’operazione di M&A.

M&A – Business as usual?

Solo a partire dal 2017 i temi relativi alla privacy e alla cybersecurity iniziano ad acquisire dignità propria nell’ambito delle procedure di M&A.

Lo scenario cambia prepotentemente nell’ambito di due casi, ormai di scuola: il primo, all’inizio del 2017, relativo all’operazione di acquisizione da parte di Verizon Communications su Yahoo, salita alla ribalta per la sostanziale revisione del prezzo, ridotto dall’importo iniziale 4,83 miliardi di dollari per 350 milioni di dollari, proprio per tenere conto delle massive violazioni (e conseguenti sanzioni e costi) che hanno interessato milioni di account Yahoo, provocati da attacchi hacker occorsi oltre un anno prima la cessione; il secondo, relativo al data breach subito dalla catena alberghiera Marriott International (successivamente all’acquisizione della catena Starwood), per aver “compromesso” oltre 500 milioni di nominativi di clienti; in relazione a quest’ultimo incidente, il garante privacy UK (Information Commissioner’s Office – ICO) sanzionò Marriott per il fatto che questa non avesse (colpevolmente) svolto un’adeguata attività preliminare di due diligence: “Marriott failed to undertake sufficient due diligence when it bought Starwood and should also have done more to secure its systems” …. Inoltre, precisava nel suo comunicato che: “…The GDPR makes it clear that organisations must be accountable for the personal data they hold. This can include carrying out proper due diligence when making a corporate acquisition, and putting in place proper accountability measures to assess not only what personal data has been acquired, but also how it is protected. Personal data has a real value so organisations have a legal duty to ensure its security, just like they would do with any other asset. If that doesn’t happen, we will not hesitate to take strong action when necessary to protect the rights of the public”.[3]

Sempre l’ICO, nel dicembre 2020 ha pubblicato la versione aggiornata del Data Sharing Code of Practice[4], affermando, tra l’altro, che se un’operazione di fusione, acquisizione o di cambiamento della struttura societaria comporta un trasferimento di dati ad un altro titolare, l’area privacy deve essere parte del processo di due diligence, al fine di identificare innanzitutto le finalità per le quali i dati sono stati originariamente acquisiti, le relative basi giuridiche e se le stesse possano essere oggetto di modificazione successivamente al compimento dell’operazione di M&A. [5]

Prevenire è meglio che curare: la mitigazione dei rischi

Come valutare l’impatto economico dei rischi cyber e di data breach sulla fattibilità ed economicità di un’operazione di M&A?

Partendo dal concetto di Privacy by Design: la tutela degli asset e dei valori aziendali non si ottiene contrastando gli attacchi di cyber security all’ultimo minuto (in pratica, chiudendo il cancello quando i buoi sono già scappati), ma adottando sistemi e processi di controllo di risk management interni, oltrechè costruendo appropriate procedure di data breach. Va costruito ed attuato l’intero impianto difensivo” -normativo e tecnologico – valutandone il grado di adeguatezza rispetto ai dati trattati ed alla sensibilità ambientale in cui la società opera.

Le società che hanno diligentemente e proattivamente implementato un modello organizzativo privacy in linea con le prescrizioni del GDPR dovrebbero farsi valere (e riconoscere) sul mercato. Un’azienda che abbia davvero implementato un sistema di privacy by design, ridisegnato i propri processi organizzativi e effettivamente adottato un modello organizzativo privacy (anche per il futuro), deve far emergere questo valore aggiunto e tendere alla definizione di un più alto enterprise value.

Per converso, le imprese che non hanno portato avanti il processo di adeguamento al GDPR, considerandolo un mero onere e non un’opportunità, anche di business, potrebbero rappresentare delle vere e proprie bombe ad orologeria per gli investitori che le abbiano inserite nel proprio portfolio di acquisizione.

Sul sell-side le società, che intendono offrirsi sul mercato, devono prepararsi in anticipo, rivedendo e sistemando tutta la compliance ed i sistemi di sicurezza, preparandosi ad inevitabili disclosure su eventi a rischio occorsi nel passato, ma fonti potenziali di richieste di indennizzo e manleva post-acquisizione. Meglio affrontare la discussione in sede di negoziazione contrattuale, piuttosto che subire e gestire a posteriori complessi procedimenti (anche giudiziari o arbitrali) per risarcimento danni. Un check-up preventivo (sullo stato di salute dell’azienda) non è mai una cattiva idea.

Sul buy-side, le investigazioni di due diligence non devono limitarsi ai meri aspetti di compliance legale, ma estendersi anche alla sicurezza tecnologica; il team dei professionisti dovrebbe quindi includere anche specialisti IT ed adottare sistemi e piattaforme certificate di gestione dei dati.

Diventa, dunque, imperativo per un acquirente:

  • Identificare i rischi privacy e cyber tenendo conto del settore industriale, l’area geografica, la natura dei beni e servizi prodotti,
  • Conoscere l’architettura ed il flusso dei dati personali all’interno ed all’esterno della società target; il luogo e le modalità di conservazione degli stessi,
  • Conoscere le finalità del trattamento dei dati e le categorie dei dati personali utilizzati,
  • Verificare le basi giuridiche dei trattamenti, con particolare riferimento alla gestione dei consensi ed alla loro conservazione
  • Rivedere le clausole di gestione della privacy nell’ambito dei rapporti contrattuali con clienti, fornitori e tutti i player con cui si relazione la target;
  • Verificare e valutare l’adeguatezza delle procedure e degli standard di sicurezza, le misure di sicurezza, i piani di risposta agli incidenti, l’adozione di valutazioni d’impatto (DPIA), di policy e regolamenti interni,
  • Accertare l’esistenza di un modello organizzativo privacy,
  • Stimare l’impatto (anche finanziario) di possibili responsabilità residuali successive all’acquisizione e l’eventuale risarcimento di danni (non patrimoniali) nel caso di trattamenti illeciti dei dati (danni per mera violazione delle previsioni normative? Danni derivanti da un concreto pregiudizio di diritti individuali e giuridicamente tutelati?).

Note

  1. https://www.wipo.int/global_innovation_index/en/2020/
  2. https://edpb.europa.eu/our-work-tools/our-documents/autre/statement-edpb-data-protection-impacts-economic-concentration_it.
  3. https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/
  4. https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/12/ico-publishes-new-data-sharing-code-of-practice/
  5. https://ico.org.uk/for-organisations/data-sharing-a-code-of-practice/due-diligence/ : “How does data sharing apply to mergers and acquisitions? Data sharing considerations may become a priority when a merger or acquisition or other change in organisational structure means that you have to transfer data to a different organisation. For example, as part of a takeover; or on insolvency, data might be sold as an asset to a different legal personality. You must take care if, as a result of the changes, there is a change in the controller of the data, or if the data is being shared with an additional controller. This is the case whether you are the sharing or recipient controller. You might be an insolvency practitioner or other adviser taking the role of controller for the time being, or advising a different controller. You need to:• ensure that you consider the data sharing as part of the due diligence you carry out;• follow this data sharing code;• establish what data you are transferring;

    • identify the purposes for which the data was originally obtained;

    • establish your lawful basis for sharing the data;

    • ensure you comply with the data processing principles – especially lawfulness, fairness and transparency to start with;

    • document the data sharing;

    • seek technical advice before sharing data where different systems are involved: there is a potential security risk that could result in the loss, corruption or degradation of the data; and

    • consider when and how you will inform data subjects about what is happening. Under the GDPR you are required to keep individual data subjects informed about certain changes relating to the processing of their data, and they may have a right to object. Please see the guidance on individual rights on the ICO website. The same considerations may apply in reverse to the controller receiving the data.”

WEBINAR
18 Novembre 2021 - 15:00
PNRR: Cybersecurity e innovazione digitale (sicura).
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 3