I ruoli privacy in un’operazione di M&A: come identificarli e garantire la compliance Gdpr - Agenda Digitale

fusioni e acquisizioni

I ruoli privacy in un’operazione di M&A: come identificarli e garantire la compliance Gdpr

Un’operazione di natura societaria comporta inevitabilmente il trasferimento di dati personali. Operazione che produce molteplici implicazioni sulla tutela dei diritti degli interessati. Come identificare in modo corretto i ruoli privacy dell’acquirente e degli altri player e le modalità per garantire la compliance al GDPR

07 Giu 2021
Giovanna Ianni

Avvocato, Partner Lexalia - Studio Legale e Tributario

L’argomento dei ruoli privacy e della giusta allocazione della titolarità / responsabilità / contitolarità tra i diversi soggetti che ruotano intorno ai trattamenti dei dati personali ai sensi del GDPR è sempre alla ribalta[1].

Continuando il filone dei rapporti tra privacy e operazioni di M&A, il tema dell’identificazione del ruolo privacy dell’acquirente e degli altri soggetti coinvolti in un’operazione societaria, così come delle modalità e degli strumenti necessari a garantire la liceità dei trattamenti, non ha risposta univoca; vale, dunque, la pena approfondire l’argomento nelle sue varie sfaccettature.

M&A: come valutare l’impatto economico di rischi cyber e data breach

Il rispetto della compliance privacy nelle diverse fasi di un’operazione societaria

È inevitabile che un’operazione di natura societaria comporti il trasferimento di dati personali al soggetto acquirente. Quale che sia la tipologia della transazione, la condivisione di dati personali produce molteplici implicazioni sulla tutela dei diritti degli interessati.

WEBINAR
18 Novembre 2021 - 15:00
PNRR: Cybersecurity e innovazione digitale (sicura).
Sicurezza
Cybersecurity

Poiché le problematiche riguardanti data protection e cybersecurity possono rappresentare un’importante minaccia alla sostenibilità del business ed al buon fine dell’operazione, tanto per il venditore quanto per l’acquirente, tutte le parti coinvolte ed i rispettivi consulenti devono assicurare il rispetto della compliance lungo l’intero processo. Perciò, prima di condividere documenti, che implichino la comunicazione di dati personali a qualsiasi terzo soggetto, amministratori, consulenti e referenti in genere del possibile acquirente, i soci che intendano cedere il capitale sociale, ovvero i rappresentanti della società, che trasferisca l’azienda o un ramo di azienda, devono implementare le modalità e la struttura più idonea a garantire la legittimità del trattamento in conformità ai principi cardine della data protection.

Accountability in share deal e asset deal

E’ per questo motivo che ogni step del processo di M&A e tutte le decisioni prese in conformità al GDPR devono essere documentate, sia in fase di due diligence, che nelle fasi di pre- e post signing (negoziazione e completion), valutando il contesto di asset deal, share deal, aumento di capitale, fusione, scissione, ecc., con l’obiettivo di escludere, o almeno minimizzare, i rischi di una violazione del GDPR per mancato adeguamento; tanto più se l’operazione possa avere particolare visibilità sul mercato.

Sotto quest’ultimo profilo, bisogna tener conto del fatto che, in un’operazione sul capitale, la società (il cui capitale passi di mano ad un acquirente) rimane il titolare dei dati personali, trattati sino a quel momento, mentre in un’operazione di cessione di azienda o di ramo di azienda, l’identità del titolare dei dati personali cambia e un nuovo titolare si sostituisce (o si aggiunge al precedente, cedente dell’azienda).

I ruoli privacy secondo il GDPR nelle operazioni di M&A

Attribuendo i ruoli privacy identificati dal GDPR agli attori di un’operazione societaria, non pare inutile ricordare, anche per meglio comprendere le considerazioni che seguono, che il titolare è la persona giuridica (S.p.A., S.r.l. ecc.) e non il singolo organo decisionale / legale rappresentante della società ovvero i soci della stessa, piuttosto che taluna delle persone fisiche che operano al suo interno, determinandone la volontà.

Dal canto loro, gli interessati sono le persone fisiche i cui dati personali sono contenuti nei documenti messi a disposizione in ogni fase dell’operazione, in prima battuta quella di due diligence condotta dal prospettico acquirente (per es. nei contratti di lavoro dei dipendenti, nei contratti con clienti e fornitori, ecc.).

Infine, i responsabili del trattamento sono tutti coloro che intervengono nel processo di acquisizione su istruzioni del venditore e/o dell’acquirente e che hanno accesso ai documenti per lo svolgimento delle rispettive attività per cui sono stati incaricati: ad es, i consulenti incaricati dello svolgimento della due diligence, della negoziazione ed assistenza nel processo di acquisizione, il provider della data room virtuale, ecc.

Le ulteriori finalità dei trattamenti derivanti dall’operazione societaria

In primo luogo va verificato se il trattamento dei dati personali per un’altra ed ulteriore finalità (l’esecuzione delle attività connesse all’operazione societaria) sia compatibile con le finalità per cui i dati personali sono stati inizialmente raccolti, tenendo conto, in conformità all’art. 6, par. 4, GDPR, tra l’altro, “del nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto” (lett. a), “del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento”, “della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali” (lett. c), “delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati” (lett. d), “dell’esistenza di garanzie adeguate, possono comprendere la cifratura o la pseudonimizzazione” (lett. e).

I dati personali delle diverse categorie di interessati sono contenuti nei documenti resi disponibili innanzitutto nella data room ed oggetto di due diligence da parte del venditore e comunicati al prospettico acquirente e suoi consulenti.

Fino a quel momento, i dati personali sono stati raccolti per ben altre finalità, con la conseguenza che – prima di iniziare un nuovo trattamento (utilizzo nell’ambito dell’operazione di M&A) – è ben opportuno identificare la base giuridica più adeguata.

A questo proposito, difficile ipotizzare la possibilità di ottenere uno specifico consenso da parte degli interessati coinvolti, piuttosto potrebbe ben trovare applicazione la base giuridica del “legittimo interesse del titolare” ai sensi dell’art. 6, par. 1, lett. (f) GDPR.

Cosa, come e quando comunicare agli interessati

Dell’esistenza di un nuovo trattamento e di un nuovo titolare è necessario dare adeguata informativa agli interessati, ma non è semplice calibrare il contenuto della stessa ed il momento in cui renderla. Questo obbligo ricade naturalmente sia sul titolare cedente, che su quello ricevente i dati per effetto del trasferimento della società e/o dell’azienda. Infatti, anche nella fase successiva alla chiusura dell’operazione, sarebbe opportuno che il titolare (in caso di share deal la società stessa oggetto di trasferimento del capitale, in caso di asset deal, l’acquirente dell’azienda) effettui un preciso controllo delle finalità di trattamenti, per stabilire se le stesse siano diverse rispetto a quelle esistenti al momento pre-closing, ovvero se se ne siano aggiunte di nuove, in virtù della nuova impostazione del business e dell’attività aziendale nel suo complesso.

Resta il fatto che vi è sempre una certa tensione tra l’obbligo di adempiere alla normativa in tema di data protection (e rendere le adeguate informative agli interessati) e la necessità di assicurare il rispetto della sensibilità commerciale dell’operazione; è comune, infatti, che le parti sottoscrivano accordi di confidenzialità tanto sulle trattative in corso, quanto sul loro contenuto.

Anche la tempistica dell’invio delle informative agli interessati nell’ambito di un’operazione di M&A necessita, dunque, di attenta considerazione. Per esempio: dal punto di vista dell’acquirente e dei suoi consulenti, il rispetto dell’art. 14 GDPR (“informazioni da fornire agli interessati”) potrebbe comportare l’automatica violazione delle clausole di confidenzialità contrattuali e professionali con riferimento al compimento della stessa operazione. Peraltro, l’art. 14, par. 5, lett. b), GDPR prevede l’eccezione secondo cui non si è tenuti all’invio dell’informativa qualora “comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato”; in tal caso, “il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato…”. Inoltre, la successiva lett. d) del medesimo articolo conferma che l’invio della informativa non è necessaria “qualora i dati personali debbano rimanere riservati conformemente ad un obbligo di segreto professionale … compreso un obbligo di segretezza previsto per legge”.

Sembrerebbe, pertanto, che l’acquirente possa avvalersi di tali esenzioni, in conformità altresì all’interpretazione fornita nel 2018 dall’allora Article 29 Working Party Guidance (ora “European Data Protection Board – EDPB”) su “Transparency under the GDPR | WP260 rev.01 (11 April 2018)”, secondo cui l’esenzione è applicabile, purchè i titolari diano piena dimostrazione che l’invio dell’informativa renderebbe vani gli obiettivi del trattamento (e dimostrando il legittimo interesse).

DPIA ed altri strumenti di minimizzazione dei rischi di illecito trattamento da parte del venditore

L’esecuzione di una DPIA all’avvio di un processo di M&A da parte della società venditrice è senz’altro un ottimo modo per valutare i rischi che potrebbero emergere nel mettere a disposizione di terzi la documentazione societaria e consentire fin dall’inizio l’identificazione e l’implementazione dei passaggi necessari a mitigare al meglio i rischi potenzialmente derivanti dalle modalità di condivisione dei dati e i rischi informatici che potrebbero minare la riservatezza, l’integrità e la disponibilità dei dati nel passaggio da un soggetto ad un altro.

Parimenti, altre modalità di attenuazione dei rischi potrebbero essere:

  • ricorrere alla minimizzazione, ovverosia mostrare solo i dati strettamente necessari agli scopi della due diligence; sempre che ciò sia necessario, altrimenti i dati possono essere forniti in via anonima ed aggregata, al fine di consentire le adeguate valutazioni della convenienza del business da parte del prospettico acquirente;
  • regolamentare contrattualmente i soggetti provider di servizi ai sensi dell’art. 28 GDPR, ivi incluso il fornitore della piattaforma di data room virtuale, verificando attentamente il paese in cui quest’ultimo risiede, o meglio in quale paese risiedono i server (dentro o fuori UE);
  • redigere contratti ad hoc di data sharing tra venditore ed acquirente, regolamentando espressamente i rispettivi obblighi e responsabilità, in particolar modo quando le parti hanno sede in giurisdizioni diverse, unitamente alla attenta redazione di NDA e accordi di confidenzialità;
  • ricorrere a sistemi di legaltech, ormai piuttosto diffusi nell’ambito delle operazioni di M&A (ad esempio, tecnologie che rendono immediatamente disponibili la redazione e/o la revisione dei documenti e che, aiutano proprio nei processi di compliance ed investigazione / due diligence dei dati necessari alla conclusione del processo di acquisizione, anche grazie a sistemi di IA e di machine learning);
  • concordare adeguate misure di confidenzialità, quali accessi limitati alla data room e alla documentazione in genere, trasmissioni criptate dei dati, obblighi di cancellazione al termine e completamento della transazione;
  • negoziare, infine, eventuali clausole di responsabilità, in caso di violazione dei rispettivi obblighi (magari pensando alla previsione di specifici cap di responsabilità), specifiche dichiarazioni e garanzie contrattuali, associate a clausole penali o a meccanismi di aggiustamento prezzo.

Le verifiche dell’acquirente sullo stato di compliance privacy della società target

Non si dimentichi che la responsabilità gestoria dell’organo amministrativo della società acquirente si estende anche a fatti ed eventi occorsi pre-closing, soprattutto nell’ipotesi che l’esito della due diligence evidenzi l’esistenza di inadempimenti e aspetti di non conformità.

È pertanto opportuno che le attività di verifica sullo stato di compliance al GDPR e alle normative locali applicabili alla società target si svolgano principalmente nelle seguenti aree:

  • tipologia e volume di dati processati, incluse le speciali categorie di dati personali;
  • ciclo di vita dei dati, raccolta, utilizzo, comunicazione, conservazione e cancellazione;
  • basi giuridiche e documentazione che ne dimostri la legittimità e le finalità d’uso, incluso l’eventuale esame di bilanciamento nel caso di ricorso al legittimo interesse;
  • struttura e ruoli privacy in funzione dei trattamenti in qualità di titolare o responsabile del trattamento e la relativa documentazione contrattuale;
  • trasferimenti extra-UE e basi giuridiche e contrattuali che giustificano tali trasferimenti;
  • numero e tipologia di reclami ed eccezioni proposti dagli interessati;
  • documentazione privacy, quali informative, nomine di responsabili ed autorizza ex art. 28 e 29 GDPR, procedure di dettaglio, registro dei trattamenti, nomina del DPO (o giustificazione dell’assenza);
  • sicurezza dei sistemi e delle infrastrutture, adeguata all’utilizzo, alla gestione e conservazione dei dati personali ricevuti per effetto dell’operazione di cessione;
  • programmi di information security e regolare conduzione di penetration test e vulnerability assessment;
  • piani di disaster recovery, business continuity e incident response;
  • gestione dei fornitori tecnologici e dei cloud service provider;
  • presenza di eventuali certificazioni secondo standard internazionali sui sistemi di gestione per la sicurezza delle informazioni (per es. ISO/IEC 27001).

L’utilizzo di appositi questionari per la raccolta di queste informazioni potrebbe rappresentare un valido strumento per procedere ad un primo giro di valutazione del grado di compliance, limitando anche l’accesso a dati personali contenuti nei documenti, almeno in una priva fase di analisi, salvo che non risulti poi strettamente necessario in funzione delle evidenti carenze delle risposte ricevute.

Note

  1. “Gdpr, le alternative al binomio titolare-responsabile del trattamento” del 5 dicembre 2020 pubblicato su https://www.linkedin.com/pulse/gdpr-le-alternative-al-binomio-titolare-responsabile-del-ianni-1f/?trackingId=OCtaUdTtTqOQgrQZgsKfYg%3D%3D
WEBINAR
28 Ottobre 2021 - 12:00
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4