***
I problemi sul tavolo
Nel contesto delle operazioni di M&A, una tematica spesso trascurata, ma di grande rilievo, è quella della protezione dei dati personali. Le questioni relative alla data protection, infatti, hanno acquisto negli ultimi anni un valore ancora più apprezzabile alla luce dei numerosi interventi, anche di natura sanzionatoria, da parte del Garante per la protezione dei dati personali a seguito dell’approvazione del Reg. UE 679/2016 (General Data Protection Regulation - GDPR). A far data dalla sua entrata in vigore, il 25 maggio 2018, il rispetto della normativa in materia di protezione dei dati personali è divenuto un aspetto fondamentale delle operazioni di fusione e acquisizione, tanto nel mercato internazionale quanto in quello italiano.
L’interesse in tal senso è dovuto principalmente a due considerazioni principali. In primo luogo, alla consapevolezza che i buyers possono vedersi imputato l’onere economico violazioni in materia di data protection commesse in passato dalla società target, a causa delle sanzioni amministrative comminabili dal Garante. In secondo luogo, alla possibilità che violazioni dei dati personali verificatesi prima del perfezionamento di una operazione di M&A, vengano scoperte solo dopo la conclusione stessa, con la conseguenza che i buyers potrebbero dover affrontare costi non preventivati ed anche trovarsi nell’impossibilità di utilizzare i dati personali oggetto della violazione. Senza considerare gli eventuali impatti reputazionali.
Vi sono poi ulteriori considerazioni che assumono particolare rilievo soprattutto per le transazioni ed operazioni straordinarie che coinvolgono realtà molto attive nei settori delle comunicazioni e dei servizi digitali, o in generale le data-driven companies.
Le sanzioni
Concentrandosi, dunque, sulle sanzioni cui possono essere soggetti gli operatori che non rispettino la normativa, il GDPR prevede che esse possano raggiungere i 10 milioni di euro (o il 2% del fatturato complessivo mondiale, a seconda di quale valore sia maggiore) per violazioni di minore entità, quali ad esempio irregolarità nel trattamento dei dati o nelle funzioni svolte dal Data Protection Officer. Il limite massimo edittale raddoppia a 20 milioni di euro (o al 4% del fatturato complessivo mondiale, a seconda del maggiore fra i due), in caso di violazioni più gravi, come il mancato rispetto dei principi fondamentali del trattamento, primo fra tutti quello del consenso.
In relazione a tali sanzioni, l’operato delle competenti authorities, peraltro avallato dalle decisioni rese anche di recente in sede giudiziaria, si è indirizzato verso un approccio alquanto severo. Si citano, in via esemplificativa, le sanzioni di 10 milioni di euro inflitte a Facebook e confermate dalla recente sentenza del Consiglio di Stato del 29 marzo 2021 in relazione alla modalità di raccolta dei dati personali degli utenti, le sanzioni di 27 milioni a TIM S.p.A. in relazione alla sua condotta in alcune campagne di marketing e quella di 11.5 milioni nei confronti di Eni Gas e Luce S.p.A., per trattamento illecito di dati e per aver attivato dei contratti senza il consenso degli utenti. Questi esempi, sebben non direttamente collegati ad operazioni di M&A, rimangono pur sempre rilevanti per le operazioni straordinarie, in quanto i buyers potrebbero ritrovarsi a dover sostenere oneri altrimenti evitabili grazie ad una accurata operazione di due diligence, focalizzata proprio su aspetti di protezione dei dati. Fra tali potenziali oneri si possono citare i costi dovuti alle sanzioni del Garante e quelli necessari per rendere la target completamente in regola con le norme di settore.
Un caso inglese
È opportuno sottolineare, infatti, che nonostante il Garante italiano non abbia ancora comminato sanzioni direttamente collegate ad operazioni di M&A, potrebbe procedere in tal senso in futuro, seguendo la strada già tracciata da altre autorità di protezione dei dati a livello europeo. Di particolare rilievo, in tale contesto, appare essere l’operato del Information Commissioner’s Office, l’omologo britannico del Garante, che come noto ha sanzionato il gruppo alberghiero Marriott per 18.4 milioni di sterline. La sanzione si collega a un data breach subito dal gruppo Starwood Hotels nel 2014, acquisito da Marriott nel 2016, e scoperto soltanto nel 2018. Particolarmente interessante è stata la motivazione posta alla base della sanzione: l’Information Commissioner’s Office ha ritenuto che il gruppo Marriott fosse passibile di sanzione a causa di una “due diligence insufficiente al tempo dell’acquisizione”.
Appare evidente, quindi, come una scrupolosa valutazione della privacy policy adottata dall’azienda target (comprensiva, tra le altre cose, delle procedure di controllo interne, dei registri di attività di trattamento, delle politiche di sicurezza delle informazioni e di conservazione dei dati, dei test sulla vulnerabilità dei sistemi, della data breach policy) e dell’accuratezza, completezza ed effettiva applicazione della stessa, può essere di fondamentale importanza nelle dinamiche che guidano le trattative nell’ambito delle operazioni straordinarie. Tali verifiche, tese a valutare gli eventuali rischi che potrebbe incorrere il potenziale buyer, spesso richiedono anche un intervento coordinato sia legale, sia tecnico-informatico.
L'analisi del trattamento dei dati da parte della società target
Oramai assistiamo ogni giorno ad episodi di violazione di sistemi informatici e di perdite massicce di dati personali (si veda, ad esempio, l’attacco ransomware che la prima settimana di aprile ha interessato il sistema Axios di gestione dei registri elettronici utilizzati dalla maggior parte degli istituti scolastici italiani, contenente numerosi dati riguardanti minorenni).
Un’accurata analisi sul come la target raccoglie, conserva, usa, distrugge e trasferisce i dati, così come lo storico di eventuali violazioni e dei rapporti con le authorities, sta acquisendo sempre maggiore rilevanza nei processi di valutazione dei rischi associati alle operazioni di M&A.
I potenziali rischi di natura legale, finanziaria, reputazionale ed operativa sottesi ad una possibile inadeguatezza delle politiche aziendali in materia di privacy, di sistemi di cyber security e di flussi informativi agli interessati ed alle autorità competenti in caso di data breach, non possono più essere trascurati nelle attività transactional. Da qui anche l’esigenza di prevedere nei contratti di acquisizione specifiche clausole dirette a dichiarare e garantire l’avvenuto rispetto da parte della target non solo di tutta la normativa in materia di compliance e la legislazione privacy, ma altresì dell’avvenuta implementazione delle misure in materia sicurezza dei dati.
Trattamento dei dati durante l'operazione di M&A
Un secondo aspetto di particolare interesse su cui soffermarsi è quello relativo alla vera e propria attività di trattamento dei dati personali che avviene nel corso di una transazione. Come noto, infatti, le trattative associate alle operazioni di M&A comportano spesso la divulgazione di notevoli quantità di dati personali da parte dei soggetti coinvolti e, soprattutto da parte dei venditori. Divulgazione e scambio che deve trovare una solida legittimazione giuridica.
Il presupposto giuridico che può essere richiamato nel contesto di un’operazione di M&A e che giustifica lo scambio di tali dati è quello del legittimo interesse (Articolo 6, punto 1, lettera f), GDPR): si tratta, in termini pratici, del legittimo interesse dei venditori e degli acquirenti a scambiarsi informazioni che contengono anche dati personali, al fine di portare avanti una completa attività di due diligence; un legittimo interesse, tuttavia, che non deve prevalere sugli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono invece la protezione dei dati personali. Allo stesso modo può affermarsi legittimo il trattamento laddove sia necessario “all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali” (Articolo 6, punto 1, lettera b), GDPR)
In relazione a quanto sopra, la disclosure dei dati deve avvenire nei limiti dello stretto necessario ai fini di buona riuscita dell’operazione, utilizzando accortezze quali anonimizzazione e pseudonimizzazione ove possibile, oppure ancora fornendo ai buyers i modelli di contratto adoperati, anziché i contratti effettivamente sottoscritti, laddove chiaramente l’identità delle parti non sia di rilievo ai fini dell’analisi. Nei casi in cui la divulgazione di dati personali nel corso dell’operazione non possa essere evitata, è consigliabile apprestare opportune cautele, quali ad esempio una precisa limitazione dei professionisti che hanno accesso ai dati, oppure la sottoscrizione di appositi non-disclosure agreements.
In conclusione, si dà atto di come l’attenzione agli aspetti legati al mondo privacy, anche all’interno del contesto delle operazioni di M&A, sia in continua evoluzione e sia destinata ad aumentare. Questo non solo come conseguenza di un maggiore attivismo da parte del Garante e delle altre autorità a livello europeo, ma anche alla luce della crescente sensibilità degli imprenditori e dei professionisti del settore in relazione al tema della data protection.