La recente sanzione del Garante privacy a Intesa Sanpaolo per la selezione dei clienti destinati a Isybank, ritenuta una profilazione illecita, ci pone davanti, ancora una volta, ad un dato di fatto: durante le operazioni di M&A è sempre più necessario concentrarsi sul corretto passaggio dei dati tra le società oggetto di operazione straordinaria.
È vero che le operazioni straordinarie devono procedere con tempi compatibili con le esigenze del business; tuttavia, considerare la compliance privacy come un mero fattore di rallentamento può rivelarsi un errore anche sotto il profilo economico considerando possibili sanzioni o, peggio, possibile inutilizzabilità dei dati acquisiti.
Indice degli argomenti
Privacy nelle operazioni M&A e valore dei dati
Del resto, è sufficiente osservare l’evoluzione dell’economia negli ultimi decenni per capire che se negli anni 80 i principali asset di una azienda erano fisici ora sono immateriali e spesso sono proprio dati personali. Per avere una stima, la Commissione europea, nello European Data Market Study 2024-2026 afferma che il valore della data economy è stimato in 579,155 miliardi di euro nel 2024 e 630,843 miliardi di euro nel 2025, pari rispettivamente al 4,4% e 4,7% del PIL UE.
Tuttavia, tale tema, ancora oggi, non entra adeguatamente nello scope d’azione quando si effettuano le due diligence aziendali. Questo, in parte, è probabilmente dovuto al fatto che, nelle grandi società di consulenza, il settore privacy e il settore M&A spesso viaggiano a compartimenti stagni, come negli anni 90, appunto, pertanto difficilmente viene fatto quel passo in più per risolvere il problema alla fonte.
Ci si ritrova quindi in situazioni come quelle di Intesa o come quelle evidenziate nel noto caso Marriott di qualche anno fa, in cui a valle di un’acquisizione, emergono problemi di protezione dei dati che portano poi ad importanti sanzioni. Come evitare tutto questo?
Non esiste ad oggi un framework definitivo, ma possiamo sicuramente ricavare alcuni importanti consigli dai succitati precedenti.
Trasparenza verso utenti e clienti nella cessione d’azienda
Il primo errore è quello di sottovalutare la trasparenza verso i propri utenti/clienti. In molti pensano che l’acquisto o il passaggio di ramo di azienda, non comportino particolari obblighi verso l’utente ma questo è falso.
Già in passato il Garante si è trovato a giudicare una situazione di questo tipo. In quel caso la società oggetto di esame dichiarava di aver acquistato il ramo d’azienda della società XX, subentrando automaticamente in tutti i contratti in essere, e che in forza della descritta operazione, la scrivente ha ereditato anche il contratto con il reclamante dell’epoca.
L’errore, in quel caso, fu quello di ritenere che, a seguito della cessione del ramo d’azienda, il trattamento dei dati personali degli interessati sarebbe proseguito in termini sostanzialmente invariati rispetto a prima, senza alcun obbligo da parte della società acquirente.
Tuttavia, come precisato dall’Autorità, il fatto che le finalità restino invariate, non esime dagli obblighi previsti in materia di trasparenza e ribaditi dall’Autorità stessa nel documento “Prescrizioni in materia di operazioni di fusione e scissione fra società” da considerarsi a dire del Garante tutt’ora applicabile.
In tal senso è quindi necessario che siano forniti agli interessati i necessari aggiornamenti dell’informativa resa dalla società scissa o dalle società incorporate o comunque partecipanti all’operazione di fusione, e tra essi, in particolare, l’indicazione della nuova denominazione del titolare del trattamento e gli estremi identificativi dell’eventuale nuovo responsabile presso il quale esercitare il diritto di accesso ai dati personali e gli altri diritti di cui agli articoli 15 e successivi del GDPR (all’epoca, naturalmente, i riferimenti erano al Codice Privacy).
Consensi, lead e tempi di conservazione
Altro importante errore, spesso ricorrente, è dare per assodata la validità dei consensi asseritamente forniti dagli utenti. Allo stato attuale, sappiamo che il consenso, per essere valido deve rispettare tutta una serie di requisiti tra cui, sempre più spesso, emerge anche il requisito del c.d. double opt in. Non solo, anche in caso di consenso raccolto in maniera corretta, risulta fondamentale valutare i tempi di conservazione degli eventuali lead/contatti. Per capirci, un milione di lead, raccolti con consenso impeccabile, hanno valore zero se la raccolta è avvenuta oltre i tempi ormai chiari indicati dal Garante. Sorvolare su simili aspetti in fase di due diligence può portare gravi problemi sia per chi acquista una azienda (che probabilmente vale molto meno di quanto ipotizzato) sia per chi dovrebbe fornire consulenza nel corso di tale acquisto.
Perimetrazione dei clienti e rischio di profilazione
Proseguendo, come visto nel caso di Intesa, un grosso problema deriva poi dalla scelta/selezione dei dati e dei clienti da coinvolgere. Dove si ferma la perimetrazione del ramo di azienda e dove inizia invece una attività di profilazione non legittima?
Non è sempre facile individuare tale linea di confine anche se, possiamo identificare con buona certezza cosa non è sicuramente legittimo.
Non è legittimo selezionare i clienti in base a parametri quali, a titolo esemplificativo:
- familiarità con i canali “digitali”,
- età anagrafica non superiore a 65 anni;
- tipologia di giacenze finanziarie inferiori a tot euro.
Insomma, quello che emerge è che il passaggio di clienti potrebbe anche essere fatto, ma se relativo a servizi individuati nel loro insieme ed aventi le caratteristiche tali per assurgere al rango di ramo di azienda. Non è invece in alcun modo possibile selezionare i clienti in base a loro caratteristiche personali di consumo o simili.
Si badi, in questo caso, il problema non è nemmeno la presenza o meno di una base giuridica per il passaggio di dati. Intesa Sanpaolo ed Isy Bank, in questo erano supportati anche dal TUB che prevede all’art. 58 del TUB che le società creditizie abbiano la facoltà “di procedere ad operazioni di cessione (anche mediante conferimento) di rami aziendali (inclusivi dei relativi rapporti contrattuali con la clientela) senza richiedere alcun preventivo consenso al contraente ceduto”. La norma a sostegno del passaggio esisteva quindi, ma ciò che manca è una base giuridica a fondamento della profilazione eseguita nel selezionare i clienti da cedere. Non a caso, nel provvedimento in questione, il Garante Privacy ha evidenziato in modo chiaro la differenza tra una cessione di ramo d’azienda e la cessione di clienti profilati affermando: “l’attività di “perimetrazione” della base clienti effettuata in questo caso dalla Banca, che rappresenta solo la prima fase di un processo più complesso, differisce dalla perimetrazione effettuata nelle fattispecie esaminate in passato dall’Autorità, […] che, infatti, prescindevano da qualsiasi valutazione delle caratteristiche soggettive e dei comportamenti individuali dei clienti, i quali venivano ceduti o, in quanto facenti parte di un sportello o di una filiale che veniva soppressa (anche per effetto di specifiche vicende o operazioni societarie), oppure a seguito di operazioni di cartolarizzazione e conseguente cessione in blocco di rapporti di credito deteriorati, fattispecie, anche questa, che prescinde e non richiede una preliminare specifica individuazione di un profilo soggettivo ed individuale, come invece diversamente si è dato nel caso di specie”.
Deve pertanto concludersi che la cessione “in blocco” della clientela sia legittima (alle condizioni di cui sopra), mentre l’illegittimità risieda nella selezione dei clienti in base a caratteristiche personali, trattandosi in questo caso di profilazione.
Database, software e sicurezza informatica nella due diligence
Da ultimo, è importante che in fase di operazione straordinaria si rivolga una particolare attenzione non solo ai dati ma anche ai database e ai software della società acquisita.
In tal senso, significativo è sicuramente il procedimento che ha interessato la catena Marriott Hotel la quale, nel 2016 aveva appena acquistato la catena Starwood. In questo caso, il problema non fu tanto il passaggio dei dati, quanto il fatto che i software della catena acquisita erano oggetto di attacco, ma nessuno se ne accorse, così esponendo i dati di migliaia di clienti. In quel caso, Marriott non fece caso al problema in quanto il software era in dismissione e i dati sarebbero passati sul nuovo gestionale della catena acquirente. Tuttavia il problema c’era e non poteva essere ignorato. È quindi opportuno che, in fase di due diligence vengano effettuate anche valutazioni di sicurezza informatica, in modo da conoscere lo status dei sistemi e valutare i costi di remediation. Anche questo può incidere fortemente sulle trattative.
La privacy come componente strutturale dell’operazione
La lezione che emerge dai casi Isybank e Marriott è che il GDPR impone alle operazioni M&A una logica di accountability sostanziale. Non basta che l’operazione sia legittima sul piano societario, né che il trasferimento dei rapporti sia previsto da una disciplina settoriale. Occorre dimostrare che ogni trattamento sia stato individuato, qualificato, giustificato, comunicato e protetto. La disciplina privacy diventa così parte integrante della struttura dell’operazione: non un allegato del closing, ma una componente della sua tenuta giuridica, tecnica e reputazionale.
