• Privacy

28 giugno 2019

Privacy Due Diligence nelle operazioni di M&A

di Vincenzo Diego Cutugno

A seguito dell’entrata in vigore del regolamento europeo 679/2016 (c.d. “GDPR” o “Regolamento”) e all’inasprimento delle relative sanzioni, la compliance in materia di privacy diviene un tema cruciale anche nell'ambito delle due-diligence svolte nel contesto di operazioni di M&A.

Com’è noto, la due-diligence è un processo investigativo volto ad acquisire e analizzare dati ed informazioni rilevanti della società oggetto dell’operazione straordinaria (c.d. “target”). Lo scopo di una tale complessa attività di analisi è quello definire quanto più nel dettaglio i parametri fondamentali della società (economici, finanziari, contabili, regolatori, legali, contrattuali, etc.); tale esercizio investigativo risulta indispensabile per il buyer-investitore al fine di determinare correttamente il valore della target e definire un quadro chiaro (nei limiti del possibile) dei rischi connessi con l’operazione e, di conseguenza, delle misure per arginarli. La due-diligence, in breve, serve a colmare l’asimmetria informativa di fatto esistente tra il buyer e il seller.

In termini pratici, la due-diligence si svolge secondo una procedura ben nota e standardizzata: le parti si accordano affinché la società target metta a disposizione dell’investitore una serie di documenti, da quest’ultimo dettagliatamente indicati in una check-list, che saranno analizzati dai professionisti incaricati. Gli ambiti coinvolti riguardano, prevalentemente:

  • la struttura della società e la sua governance;
  • la situazione economica, contabile e finanziaria;
  • i rapporti contrattuali con soggetti terzi o con società dello stesso gruppo;
  • i contenziosi in essere o minacciati;
  • la compliance regolatoria (privacy, 231/01, antitrust, normativa ambientale, etc.).

La due-diligence in materia di privacy

Rispetto alla privacy, sono almeno due i temi che vanno analizzati: (i) la società target con molta probabilità tratta dati personali in qualità di titolare (o co-titolare) ovvero di (sub-)responsabile del trattamento: deve quindi essere verificata la compliance di questi trattamenti; (ii) i consulenti incaricati di svolgere la due-diligence avranno accesso a dati personali di personale, consulenti, clienti e fornitori della target. Dati che riguardano aspetti anagrafici, lavorativi, economici, finanziari e bancari, ma anche aspetti attinenti al rapporto di lavoro e professionale e, in alcuni casi, alla salute, contenuti nei documenti della “data room”.

Con riferimento al primo punto, l’attività investigativa dovrà inquadrare in dettaglio i trattamenti di dati svolti dalla società target e appurarne la conformità al GDPR e alle altre norme eventualmente applicabili, in materia di privacy. A tal fine, la due-diligence dovrà analizzare:

  • il flusso dei dati, con specifica attenzione al ruolo attivo assunto (i.e. titolare o responsabile de trattamento) dalla società target nella raccolta e nel trattamento dei dati personali (i.e. nella conservazione dei dati personali, nel loro eventuale trasferimento a destinatari o a Paesi terzi, nella definizione dei mezzi, delle finalità e della durata del trattamento, etc.);
  • la natura e le categorie dei dati personali;
  • le categorie dei soggetti interessati alla protezione dei dati personali raccolti e conservati;
  • le finalità dei trattamenti;
  • le basi legali sulle quali è fondato il trattamento dei dati (es. rapporto contrattuale, obbligo normativo, consenso, interesse legittimo) e il tipo di trattamento effettuato, con particolare attenzione ai minori;
  • la corretta gestione documentale (informative, contratti di contitolarità, contratti di trasferimento di dati, designazioni DPO, designazione responsabile o sub-responsabile del trattamento, autorizzazione al trattamento, registro dei trattamenti, registro di eventuali data breach, comunicazioni al Garante, consensi scritti, etc.);
  • gli eventuali rischi connessi con il trattamento dei dati personali (in esito a valutazioni d'impatto);
  • le misure di sicurezza, tecniche e organizzative necessarie od opportune per garantire che il trattamento dei dati avvenga in maniera legittima e sicura;
  • le procedure standard (i.e. in caso di data breach, cancellazione dati, per l'esercizio dei diritti, etc.).

Quanto al secondo punto, è necessario capire innanzitutto se vi è una base giuridica che consente alla target di condividere i dati personali richiesti con il potenziale acquirente o investitore. Ai sensi del GDPR, infatti, qualsiasi trattamento di dati personali deve essere lecito, corretto e svolto con modalità trasparenti (Cons. 39).

Naturalmente, se gli obiettivi della due-diligence possono essere ottenuti senza che vi sia alcun trattamento di dati personali, il GDPR rileverà solo rispetto ai trattamenti già effettuati dalla target.

In caso contrario, si dovrà far ricorso (verosimilmente) ad una delle seguenti condizioni di liceità (art. 6 GDPR):

  1. consenso (lett. a): le persone interessate i cui dati sono coinvolti nel processo di due-diligence devono aver prestato esplicitamente il proprio consenso affinché i loro dati personali possano essere trattati nell’ambito di un'operazione di M&A. È improbabile che tale consenso sia stato fornito nei contratti di lavoro, di consulenza o che disciplinano i rapporti commerciali con la target. Si potrebbe allora pensare di raccogliere il consenso nelle more del processo di due-diligence, ma tale approccio presenta talune criticità. Innanzitutto, per le tempistiche. Com’è noto a chi opera in questo settore, le fasi negoziali (incluse le analisi sulla target) che precedono la conclusione di un’operazione sono sempre concitate e ulteriori adempimenti non sarebbero visti con favore. Per motivi di riservatezza, poi: da non trascurare, infatti, il rischio di divulgazione di informazioni riservate. A quest’ultimo problema si potrebbe porre rimedio sottoponendo agli interessati informative e richieste di consenso, accompagnate da apposite clausole di riservatezza;
  2. legittimo interesse (lett. f): del titolare del trattamento (i.e. la target) o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali. Difficile pensare che il titolare possa fare riferimento a questa base giuridica in maniera generalizzata nei confronti di tutti i dipendenti, consulenti, clienti, etc. Più verosimile è pensare ad un uso più specifico e ad hoc della base giuridica (ad esempio nei confronti del management della società).

In alternativa, si potrebbe ricorrere ad uno strumento pratico che offre un indiscutibile livello di garanzia per gli interessati: la pseudonomizzazione dei dati. Certo, salvo si riesca ad approntare un sistema automatico (e.g. tramite software), sarà necessario individuare un team specificamente incaricato di rivedere tutta la documentazione, prima di condividerla. Tale sistema, presenta diversi limiti (oltre a quello temporale). A volte, il buyer/investitore è interessato a conoscere specificamente a quali dipendenti sono riferiti quei dati (per conoscere l’età media o il livello di scolarizzazione della forza lavoro). In quest’ultimo caso, la target stessa potrebbe svolgere un lavoro di analisi, per supportare il buyer/investitore ad avere le informazioni richieste.

È possibile dunque immaginare i seguenti accorgimenti pratici:

  1. schermare nomi, indirizzi, firme, date di nascita e numeri identificativi. Esistono vari softwares che consentono di farlo in maniera automatizzata, rapidamente e facilmente;
  2. uso di codici o riferimenti al posto di nomi e custodire la chiave di identificazione separatamente;
  3. fornitura di modelli di contratti di lavoro che prevedono termini e condizioni standard, salvo per aspetti quali retribuzione e benefits (che possono essere indicati in uno specifico allegato, in maniera anonimizzata);
  4. schermare le informazioni sensibili (c.d. categorie particolari di dati) che richiedono il consenso esplicito al trattamento (i.e. origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, o appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona).

Alcune ipotesi di R&W

Solo a titolo di esempio, si possono elencare alcune ipotesi di dichiarazioni e garanzie in materia di privacy:

  1. il Venditore ha svolto e svolge la propria attività in conformità alle disposizioni del Regolamento UE 679/2016 (“General Data Protection Regulation” o “GDPR”), del D.Lgs. 196/2003 (“Codice Privacy”) e successive modificazioni, dei provvedimenti del Garante Privacy e, in generale, con tutte le disposizioni vigenti in materia protezione dei dati personali;
  2. tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Venditore, in qualità di titolare del trattamento o il responsabile del trattamento, ha messo in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, ivi incluse, tra le altre, se del caso quelle previste dall’art. 32 GDPR;
  3. il Venditore ha debitamente provveduto alla nomina dei “responsabili del trattamento”, degli eventuali “sub-responsabili del trattamento” e delle “persone autorizzate al trattamento dei dati personali” secondo le previsioni del GDPR nonché ha provveduto alla stipula di specifici accordi volti a regolamentare attività di trattamento in qualità di co-titolare dei dati personali ovvero di dati personali di titolarità di terzi per i quali non è stato possibile formalizzare una nomina a responsabile esterno del trattamento.
  4. i dati personali contenuti nel database del Venditore sono stati raccolti in modo lecito, corretto e trasparente e, in ogni caso, conformemente alle disposizioni del GDPR. In particolare, tale database è costituito solo ed esclusivamente da dati personali che i soggetti interessati hanno conferito volontariamente e liberamente nel compilare moduli e formulari predisposti dal Venditore o che lo stesso abbia raccolto presso terzi effettuando diligentemente tutte le verifiche necessarie a valutare la correttezza della raccolta e la validità del rilascio del consenso;
  5. l’utilizzo di “cookie” avviene in totale conformità a quanto previsto dalle disposizioni di legge e regolamentari applicabili.
  6. nello svolgimento di tutti gli incarichi che prevedono il trattamento di dati personali di titolarità di terzi, il Venditore è stata nominato “responsabile del trattamento” ai sensi e per gli effetti di cui all’articolo 28 GDPR e/o ha stipulato specifici accordi privacy, e svolge le attività di trattamento in conformità alle istruzioni impartite dal titolare del trattamento e alla normativa applicabile;
  7. tutti i dati personali di titolarità del Venditore vengono trattati, custoditi e conservati secondo le tempistiche connesse al perseguimento delle finalità per le quali sono stati raccolti e, in ogni caso, in conformità alle tempistiche e modalità previste dalla normativa applicabile;
  8. il Venditore ha implementato una procedura per mantenere un registro delle attività di trattamento, ai sensi dell’art. 30 GDPR;
  9. il Venditore ha designato un responsabile per la protezione dei dati personali ovvero, in caso negativo, ha accertato e documentato che la mancata designazione è conforme all'art. 37 GDPR;
  10. il Venditore garantisce e può dimostrare di aver garantito l’agevole esercizio dei diritti da parte degli interessati anche adottando appropriate e specifiche procedure;
  11. il Venditore non adotta processi decisionali automatizzati ovvero, qualora li adotti, è stato consentito agli interessati di esercitare il diritto, in qualsiasi momento e gratuitamente, di opporsi a tali trattamenti, compresa la profilazione nella misura in cui sia connessa al marketing diretto;
  12. il Venditore dichiara di aver predisposto una procedura di gestione "Data Breach”;
  13. Il Venditore dichiara che la società non effettua trasferimento di dati verso Paesi terzi. In ogni caso, il Venditore dichiara di aver adottato misure di sicurezza adeguate e in conformità con la normativa applicabile. 

Misure di gestione dei rischi

Come ampiamente discusso, il Regolamento impone sanzioni più gravose, in caso di violazione delle norme in materia di tutela dei dati personali. Il rischio della violazione di norme privacy e, conseguentemente, dell’applicazione delle sanzioni deve pertanto essere correttamente gestito e ripartito, sulla base delle intese negoziali. A questo proposito, come accade in genere per altre tipologie di rischi nelle operazioni di M&A, si può intervenire come segue:

  • Price Adjustment: imputando i rischi ai fini di una correzione del corrispettivo se l’inadempimento paventato (e l’applicazione della relativa sanzione pecuniaria) ha luogo prima del “closing” (e.g. la società target ha trattato dati personali su larga scala in maniera illegittima e in assenza di un’appropriata base giuridica e il Garante applica una sanzione);
  • Condizioni sospensive: considerare l’avveramento (o l’accertamento) di determinate circostanze quali condizioni sospensive rispetto alla conclusione dell’intero accordo (e.g. il completamento di una serie di “preliminary transations” aventi ad oggetto il trattamento di dati personali: consensi, completamento di DPIA, firma di accordi intercompany in materia di privacy, etc.);
  • Indemnities: qualora gli eventi rappresentati quali rischi non fossero stati accertati prima del closing e dunque si protraessero anche ad operazione conclusa, si andrebbe a ricadere nel sistema di tutela previsto dalle dichiarazioni e garanzie (specifiche per la privacy) e dalle rispettive misure risarcitorie o di manleva.  

 


Vincenzo Diego Cutugno

Avvocato | Data Protection Officer