Il trattamento dei dati personali nell’operazione di acquisizione di una società

Il trattamento dei dati personali nell’operazione di acquisizione di una società

Sommario: 1. Introduzione – 2. Fasi preliminari dell’operazione societaria & GDPR: il caso “Starwood Hotels & Resorts/Marriott International” – 3. Clausole contrattuali (finali) & GDPR – 4. Conclusioni

 

1. Introduzione

L’attenzione all’analisi della normativa nazionale e comunitaria relativa alla protezione dei dati personali ha attualmente assunto una crescente (ed incessante) rilevanza in riferimento al processo di valutazione di un’operazione di acquisizione societaria, giacché essa è tesa ad eliminare (o meglio, ridurre) il rischio che il potenziale acquirente (buyer) debba essere soggetto all’applicazione, ad opera della competente Autorità di Controllo, di ingenti sanzioni amministrative ex art. 83 del Regolamento UE n. 2016/679 (GDPR) ovvero debba sostenere considerevoli spese di gestione (e di consulenza) volte ad adeguare la società neo-acquisita alla normativa in parola.

E’, dunque, di fondamentale importanza effettuare, già nel corso della consueta fase di due diligence, un’accurata indagine circa il livello di adeguatezza della società cd. target, nonché è, per altro verso, parimenti opportuno individuare ed inserire, sia nel corso delle trattative precontrattuali sia al momento del perfezionamento dell’operazione societaria (cd. straordinaria), idonei meccanismi di tutela dell’equilibrio contrattuale.

2. Fasi preliminari dell’operazione societaria & GDPR: il caso “Starwood Hotels & Resorts/Marriott International”

Ancor prima dell’avvio delle trattative, l’impatto della normativa sulla protezione dei dati personali, rispetto al (core) business della società target, si rinviene, innanzitutto, nell’attività di predisposizione della lettera di intenti (cd. LOI)[1].

Nello specifico, al fine di strutturare il contenuto della LOI (e, pertanto, orientare il successivo processo di due diligence) è, appunto, necessario comprendere, in modo dettagliato e puntuale, le caratteristiche dell’attività prevalente della società target, onde così misurare ed individuare il campo di operatività (e di rilevanza) delle tematiche sulla protezione dei dati personali[2] e, di conseguenza, indirizzare le analisi prodromiche all’acquisizione della stessa, con particolar riguardo anche alle tutele contrattuali: infatti, le parti, già all’interno della LOI, hanno la facoltà di enfatizzare il ruolo che gli aspetti di data protection rivestono per la relativa operazione societaria, evidenziando eventualmente che il buon esito della stessa non possa prescindere da una verifica della conformità alla normativa in parola dei trattamenti svolti dalla società target (es. assenza di data breach, di sanzioni ovvero di procedimenti ispettivi ad opera del Garante Privacy)[3].

Dopo di ché, la negoziazione è normalmente preceduta dalla sottoscrizione del Non Disclosure Agreement (cd. NDA)[4], spesso racchiuso già all’interno della medesima LOI: tale accordo rappresenta non solo un idoneo presidio a garanzia della confidenzialità della relativa operazione societaria ma, soprattutto, una misura di sicurezza a protezione dei dati personali, dato che il seller è tenuto a valutare la necessità di nominare il buyer quale Responsabile del trattamento ex art. 28 del GDPR mediante la sottoscrizione di un apposito contratto (o altro atto giuridico) ex art. 28 paragrafo 3) del GDPR ovvero mediante l’inserimento di un apposita e specifica clausola all’interno del medesimo NDA.

Lo step successivo alla sottoscrizione dei due descritti documenti è, di consueto, rappresentato dall’esecuzione della due diligence, processo solitamente essenziale per strutturare un’operazione di acquisizione societaria grazie alla riduzione dell’asimmetria informativa tra il seller ed il buyer ed alla conseguente evidenza circa i rischi (relativi al business della target) da regolamentare all’interno del relativo contratto di compravendita: a tal riguardo, l’acquirente è tenuto – per quanto qui consta –  a svolgere un attenta analisi ex ante circa le criticità di data protection della relativa operazione societaria, al fine cosi non solo di determinare la convenienza della stessa (e, dunque, la congruità del relativo corrispettivo) ma, in particolar modo, di predisporre idonee tutele contrattuali tese a metterlo al riparo da eventuali pregiudizi (economici) che, in caso di violazione della normativa in parola, potrebbero ricadere proprio sul cessionario.

A tal proposito, è assolutamente emblematico illustrare il caso (ormai di scuola) “Starwood Hotel & Resorts/Marriot International”: nello specifico, il gruppo alberghiero Marriott aveva ultimato, nel settembre 2016, l’acquisizione della società Starwood, sebbene fosse inconsapevole che, nel corso del 2014, quest’ultima avesse subito un ingente e significativo data breach che aveva coinvolto circa 339 milioni di soggetti interessati, evento scopertosi soltanto nel novembre 2018, ovverosia due anni dopo il perfezionamento dell’operazione societaria in questione.

A seguito di tale incidente, l’Information Commissioner’s Office (ICO) (ossia, il Garante Privacy inglese) annunziava, con comunicato del 9.7.2019[5], l’intenzione di sanzionare Marriott – seppur quest’ultima non fosse la (diretta) responsabile della violazione dei dati personali occorsa –  per 99.200,396 sterline in ragione del fatto che questa non avesse (colpevolmente) posto in essere una accurata e sufficiente attività preliminare di due diligence (“Marriott failed to undertake sufficient due diligence when it bought Starwood and should also have done more to secure its systems”).

A supporto di tale tesi, l’ICO aggiungeva, altresì, che “…The GDPR makes it clear that organisations must be accountable for the personal data they hold. This can include carrying out proper due diligence when making a corporate acquisition, and putting in place proper accountability measures to assess not only what personal data has been acquired, but also how it is protected. Personal data has a real value so organisations have a legal duty to ensure its security, just like they would do with any other asset. If that doesn’t happen, we will not hesitate to take strong action when necessary to protect the rights of the public”.

Appare, pertanto, di cruciale importanza indirizzare, in modo corretto, le indagini in sede di due diligence, onde così verificare che la società target fornisca, inter alia, la seguente documentazione: i) piano di adeguamento alla normativa sulla data protection (gap analysis ed action plan); ii) documentazione prevista da tale piano[6]; iii) analisi delle misure di sicurezza tecniche ed organizzative volte a garantire un livello di sicurezza del trattamento adeguato al rischio; iv) qualsivoglia documentazione tesa a giustificare, in un ottica di accountability, le scelte effettuate nel proprio percorso di adeguamento alla normativa privacy; v) informazioni circa ogni eventuale procedimento (concluso, in corso ovvero di cui sia stata informata) dinnanzi all’Autorità di Controllo; vi) qualsiasi segnalazione o richiesta potenzialmente lesiva (anche sotto il profilo patrimoniale) formulata sia da parte degli interessati sia ad opera di eventuali soggetti cd. terzi.

Risulta, dunque, evidente che le verifiche non devono limitarsi alla mera rispondenza della documentazione ai requisiti di forma previsti dalla normativa di specie, bensì devono essere finalizzate a verificare l’adeguatezza dei documenti rispetto ai trattamenti effettuati dalla società target (a seconda del ruolo “privacy” da questa assunto[7]), nel rispetto dei principi di cui al GDPR.

3. Clausole contrattuali (finali) & GDPR

Com’è noto, l’operazione di acquisizione di una società si conclude con la redazione del relativo contratto di compravendita[8], il quale deve essere in grado di recepire, in modo compiuto, le risultanze emerse dal processo di due diligence.

Orbene, a seconda del livello delle criticità rilevate in ambito di data protection, tale documento può ben contenere condizioni sospensive (ivi inclusa, la pretesa di eseguire una serie di connessi adempimenti), dichiarazioni o garanzie circa lo stato della società target al momento della cessione ovvero, infine, specifici indennizzi (a carico del seller) laddove fossero emersi precisi profili di criticità e fosse incerto il verificarsi di un concreto danno a carico della stessa (es. pregiudizio economico derivante da un provvedimento sanzionatorio irrogato dalla compente Autorità di Controllo).

4. Conclusioni

Sulla scorta di quanto poc’anzi espresso, l’attuale contesto normativo in materia di protezione dei dati personali (peraltro, sempre più vivo, magmatico e specialistico) impone, senz’altro, che l’analisi di adeguatezza della società target circa la compliance a tale disciplina regolamentare non solo debba ricoprire un ruolo sempre più centrale nei processi di valutazione nelle operazioni di acquisizione societaria (soprattutto, con riferimento alle imprese cd. data driven) ma, in particolar modo, debba essere svolta in modo analitico circa le peculiarità del trattamento dei dati personali posto in essere.

In chiusura, a parere di scrive si intravedono, in modo sempre più nitido, gli estremi per il raggiungimento di una nuova best practice nell’ambito delle operazioni di M&A (tesa, di riflesso, ad incoraggiare gli operatori del mercato a garantire un incremento del livello (generale) di data protection compliance).

 

 

 

 


[1] Questo primo documento di rilevanza giuridica non vincola le parti alla successiva stipulazione del contratto relativo all’operazione ivi descritta, giacché possiede unicamente rilievo sotto il profilo del principio di buona fede nelle trattative: nello specifico, all’interno della LOI sono, in linea generale, individuati i termini e le condizioni della transazione che le parti intendono concludere, tra cui: struttura della stessa; eventuale periodo di esclusiva a favore del potenziale acquirente; termini di svolgimento del processo di due diligence; principali condizioni al perfezionamento dell’operazione; modalità di calcolo del corrispettivo ed eventuali procedure di aggiustamento.
[2]  Nel caso in cui la società target operi nel settore “B2C” ove le attività di trattamento dei dati assumono un ruolo centrale ovvero nell’ipotesi in cui tali aspetti possono comunque assumere un ruolo primario seppur non rientranti nel core business aziendale, la data protection compliance deve essere, senz’altro, tenuta in debita considerazione nella predisposizione della LOI; all’opposto, nel caso in cui la società in questione operi nel settore “B2B”, l’ambito di indagine subisce un netto ridimensionamento, talvolta coinvolgendo unicamente gli aspetti concernenti il trattamento dei dati personali della popolazione aziendale.
[3] Tale modus operandi consentirebbe al buyer di interrompere le trattative senza incorrere nella violazione del principio di buona fede e del dovere di correttezza nel rapporto precontrattuale.
[4] Più precisamente, attraverso la conclusione di un accordo di riservatezza (o di accordi contenenti clausole di riservatezza) le parti tutelano lo scambio di informazioni aventi, in via generale, natura industriale, progettuale e strategica: ciò consente di assicurare che le informazioni confidenziali reciprocamente scambiate durante le negoziazioni vengano esclusivamente utilizzate al fine di valutare l’opportunità di concludere la prospettata operazione; inoltre, viene garantito, in tal modo, che le informazioni rimangano confidenziali tra le parti, senza la possibilità che vengano rivelate al di fuori dei soggetti che debbono venirne a conoscenza necessariamente per la funzionalità della trattativa.
[5] Cfr.: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/
[6] Il seller deve, quindi, assicurare che la società target metta a disposizione dell’acquirente tutta la documentazione di adeguamento alla normativa privacy che deve comprendere, tra l’altro, il Registro delle attività del trattamento, le informative ex artt. 13 e 14 del GDPR, i moduli di espressione dell’eventuale consenso, gli atti di nomina a Responsabile del trattamento ex art. 28 del GDPR, le nomine inerenti al modello organizzativo privacy (es. Responsabile della protezione dei dati, soggetti autorizzati al trattamento, soggetti designati al trattamento e amministratore di sistema), il risk assessment teso ad individuare i trattamenti da sottoporre alla Valutazione d’Impatto, le policy in materia di protezione dei dati personali, ivi inclusa quella per la gestione del data breach e, infine, eventuali trasferimenti extra UE.
[7] Ad esempio, qualora la società cd. target operi principalmente come Responsabile del trattamento ex art. 28 del GDPR, è opportuno esaminare i relativi atti di nomina, onde così verificare che non siano intervenuti eventuali inadempimenti tali da comportare la risoluzione del contratto di fornitura.
[8] A seguito del perfezionamento dell’operazione societaria, il buyer è tenuto a fornire l’informativa ex art. 14 del GDPR, nel rispetto dei termini ivi descritti.

Salvis Juribus – Rivista di informazione giuridica
Direttore responsabile Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
***
Metti una stella e seguici anche su Google News

Articoli inerenti