M&A Privacy.

L’Autorità Garante per la protezione dei dati personali può sanzionare (e l’ha già fatto) un’azienda a seguito di un’acquisizione per le cattive pratiche relative al trattamento dati personali effettuati dall’azienda acquisita. La due diligence deve necessariamente riguardare aspetti sia legali che tecnico – informatici.

La valutazione delle privacy policy dell’azienda target può essere complessa ed in alcuni casi complicata dal fatto che molti problemi vengano identificati per la prima volta mesi, o addirittura anni, dopo la chiusura di una operazione. Infatti, sebbene sia relativamente facile leggere le privacy policy di un’azienda, risulta ben più difficile verificare che essa sia accurata, completa e realmente applicata dalla azienda.

Al fine di mitigare il rischio, l’acquirente deve dare priorità ai problemi di governance, privacy e sicurezza dei dati sin dall’inizio di una operazione di M&A, partendo dalla valutazione iniziale, all’integrazione post-acquisizione. La due diligence dovrebbe iniziare assolutamente con una valutazione delle leggi a cui è soggetta la target al fine di personalizzare le richieste informative. L’acquirente deve pertanto chiedere documenti relativi alle policy privacy applicate dalla target e sulle procedure di controllo interne, registri di attività di trattamento, politiche di sicurezza delle informazioni, politiche di conservazione dei dati, data breach policy e qualsiasi altro documento relativo alla governance dei dati.

La due diligence, quindi, presuppone l’intervento indispensabile e coordinato di legali e tecnici informatici che necessariamente devono intervenire, ognuno per le sue competenze, nella fase pre-acquisizione per valutare lo stato del trattamento dati effettuato dall’azienda target e l’eventuale rischio che chi comprerà si potrebbe assumere.

Il comportamento della target in seguito alle richieste formulate in sede di due diligence dovrebbe essere attentamente valutato e, magari, utilizzato per negoziare condizioni di pre-closing, indennità ed infine il prezzo finale (appropriato) della transazione.

E’ importante ricordare il caso Marriott – Starwood. (Vedi nostro articolo) Nel 2016 Marriott ha acquisito la società Starwood senza sapere che nel 2014 la stessa aveva subito un enorme data breach scoperto solamente 4 anni dopo, nel 2018. L’Autorità Garante Inglese “ICO” ha annunciato l’intenzione di sanzionare Marriott per 99 milioni di sterline a causa “dell’insufficiente due diligence effettuata al momento dell’acquisto della società Starwood”.

L’Information commissioner Elizabeth Denham dalla ICO ha sottolineato che: “Il GDPR ha messo in chiaro che le organizzazioni devono essere responsabili per i dati personali che trattano. Questo può includere effettuare un’appropriata due diligence quando effettuano un’acquisizione, e mettere in atto misure di accountability per assicurarsi non solo come i dati personali sono stati acquisiti ma anche come essi sono protetti. I dati personali hanno un valore reale così le organizzazioni hanno una responsabilità legale di assicurare la loro sicurezza, esattamente come fanno con altri asset. Se ciò non avviene noi non esiteremo a prendere dure azioni quando necessario per proteggere i diritti del pubblico”.

Alla luce di ciò non solo risulta assolutamente necessaria e doverosa la due diligence privacy in una operazione di M&A ma risulta di fondamentale importanza scegliere un consulente legale in grado di svolgere detta operazione con un pool di professionisti legali e tecnici in grado di analizzare tutti gli aspetti possibili.

Luca Visconti