Fusioni aziendali e GDPR: cosa fare in materia privacy
25 Maggio 2021 in DPO as a Service
I dati, oggi, rappresentano un vero e proprio asset aziendale: ciò crea uno stretto collegamento tra la disciplina privacy e le operazioni straordinarie d’impresa; in particolare, fra le fusioni aziendali e il GDPR.
Fra i beni immateriali oggetto delle fusioni aziendali, infatti, rientrano tutti i dati personali utilizzati dalla società target per il suo business, compresi i database contenenti tutti i dati di utenti, clienti e fornitori, oltre ai dati dei dipendenti che risultano necessari e funzionali alla gestione interna dell’azienda.
Nessuna differenza, lato privacy, sussiste fra operazioni di fusione per incorporazione o con costituzione di una nuova società: in entrambi i casi, il buyer (sia esso la società incorporante o la NewCo) assumerà il ruolo di nuovo titolare dei dati, subentrando in tutti i rapporti attivi e passivi delle società precedenti, anche nei confronti degli interessati.
Fusioni aziendale e GDPR: gli adempimenti preventivi
In relazione ai dati personali oggetto dell’operazione di fusione, è necessario che il buyer ponga in essere una serie di adempimenti.
Preliminarmente all’esecuzione della fusione aziendale, il buyer dovrà svolgere una cosiddetta due diligence, al fine di annullare l’asimmetria informativa nei confronti della società target. In questa fase, la società target sarà chiamata, a fronte di un Non Disclosure Agreement vincolante per ambedue le parti, a fornire tutte le informazioni che possano permettere al buyer di comprendere il flusso dei dati personali all’interno della società target e i trattamenti posti in essere. Tale adempimento risulta particolarmente necessario nelle operazioni di M&A che coinvolgono società data-driven.
Oggetto di analisi sono:
- i documenti di gestione dei dati personali (informative, consensi acquisiti, nomine dei responsabili del trattamento, policies interne);
- i processi di gestione dei dati e la loro struttura;
- le clausole poste a salvaguardia della sicurezza dei trasferimenti di dati all’estero;
- i processi di gestione delle richieste degli interessati;
- i data breach subiti ed i processi di gestione degli stessi;
- le misure di sicurezza implementate;
- eventuali reclami ricevuti dal Garante e i contenziosi in corso.
Gli adempimenti successivi
Svolta la due diligence e conclusa l’operazione di fusione, il buyer dovrà:
- fornire un’informativa aggiornata ai sensi dell’art. 14 GDPR, per gli elementi del trattamento non noti: nominativo e dati di contatto del nuovo titolare del trattamento (e del nuovo DPO, ove differente), modalità di esercizio dei diritti da parte dell’interessato. Ove tale obbligo sia manifestamente sproporzionato rispetto al diritto tutelato, il buyer potrebbe consegnare l’informativa secondo modalità semplificate, come la pubblicazione di un annuncio sul sito web;
- bilanciamento degli interessi della società buyer e degli interessati, ove il trasferimento dei dati personali sia fondato sull’interesse legittimo;
- ottenimento del consenso dell’interessato, ove non sia possibile utilizzare il consenso fornito alla società target o si intenda utilizzare i dati per finalità non “compatibili”;
- aggiornamento del Registro delle attività di trattamento;
- nuova valutazione del rischio connesso ai trattamenti, anche nel caso in cui sia stata già svolta dal precedente titolare;
- eventuale implementazione delle misure di sicurezza tecniche ed organizzative.
Nel caso in cui il buyer non ponga in essere tali attività, violando le prescrizioni normative del GDPR, le conseguenze possono essere molteplici:
- in primo luogo, l’inutilizzabilità dei dati personali, come indicato dall’art. 2-terdecies del Codice Privacy novellato;
- in secondo luogo, l’esposizione a pesanti sanzioni da parte del Garante Privacy;
- da ultimo, la lesione della brand reputation, specialmente in realtà che operano B2C. Lo insegna un caso come quello di Marriott International, catena di hotel di lusso che, anni dopo l’acquisizione della società Starwood Hotels, vide la propria reputazione profondamente lesa dall’emersione di violazioni che coinvolgevano clienti di alto profilo, i quali si erano affidati a Marriott proprio in forza della garanzia di un elevato standard di riservatezza dei loro dati.