Protezione dei dati nelle operazioni di fusione e acquisizione

È Protezione dei dati importante nelle operazioni di fusione e acquisizione? Oppure è "bello da avere" e può essere trascurato a favore di fatti commerciali "concreti"? A queste domande si può rispondere rapidamente. La protezione dei dati nel rispetto della legge è sicuramente un fattore di business. Le violazioni dei requisiti della GDPR rischiano multe fino a 20 milioni di euro o fino al quattro per cento del fatturato globale dell'anno precedente.

Il gruppo alberghiero Marriott, ad esempio, è stato multato per 110 milioni di euro nel 2019 per le conseguenze di un attacco informatico a un gruppo alberghiero acquisito nel 2014. Anche se questa Fine successivamente ridotto a 20 milioni di euro, ma dimostra chiaramente che le carenze nell'organizzazione della protezione dei dati di un'azienda target possono comportare rischi considerevoli per l'acquirente.

È inoltre necessario chiarire la base giuridica sulla quale Dati personali possono essere trasmessi dall'azienda target al potenziale acquirente. Ciò richiede un Consenso? Oppure si può fare affidamento sul legittimo interesse? Anche in questo caso le insidie sono notevoli.

La protezione dei dati come parte della due diligence

Indipendentemente dal tipo di transazione (trasferimento di azioni, asset deal o fusione), la questione della protezione dei dati dovrebbe sempre far parte del processo di due diligence. La due diligence è un'analisi economica e legale dettagliata dell'azienda target. L'obiettivo è identificare i rischi, minimizzarli e/o "prezzarli".

Il seguente elenco di domande può essere utile:

1. Quali categorie di dati personali tratta l'azienda target? Quali rischi ne possono derivare? Quali leggi sono rilevanti?
2. Come e per quale scopo dovranno essere utilizzati in futuro i dati dell'azienda target? Quale base giuridica può essere utilizzata a tal fine? Ad esempio, esistono consensi documentati per scopi pubblicitari? Quale Obbligo di informazione esistono nei confronti delle persone interessate?
3. Qual è lo stato dell'organizzazione per la protezione dei dati dell'azienda target? Sono Elenco di elaborazionePolitica di protezione dei dati, processi necessari per Elaborazione dell'ordine, Diritti degli interessati o trasferimenti di dati verso Paesi terzi completi e aggiornati? In caso contrario, quali risorse sono necessarie per raggiungere uno stato attuale accettabile?
4. Esistono misure tecniche e organizzative adeguate presso l'azienda target e i suoi fornitori di servizi?
5. Quali indicazioni forniscono le violazioni di dati avvenute in passato sui rischi ancora presenti nell'azienda target?

Una volta identificati i rischi, gli effetti e le possibili contromisure devono essere oggetto di un'analisi approfondita, una sorta di "valutazione dell'impatto della fusione".

Nell'ambito del processo di due diligence, un potenziale acquirente può avere accesso a sistemi informatici contenenti dati personali di dipendenti e clienti dell'azienda target. È necessario ottenere preventivamente dichiarazioni di riservatezza e obblighi di riservatezza. Inoltre, è necessario chiarire la base giuridica per il trasferimento dei dati dall'azienda target al potenziale acquirente. Solo per alcune persone, questo potrebbe Consenso legittimo interesse, ma solo dopo aver effettuato un bilanciamento degli interessi, in base al quale, in ogni caso, ai sensi degli artt. 13 o 14 GDPR e deve essere indicato il diritto di opposizione. Occorre inoltre verificare se le stesse finalità non possano essere raggiunte con dati aggregati o pseudonimizzati. I principi di minimizzazione dei dati e di Minimizzazione dei dati si applicano anche in questo caso.

Se possibile, nessuna categoria speciale di dati personali deve essere memorizzata nella "Data Room". Se ciò dovesse tuttavia rendersi necessario, solo previo consenso informato. Consenso delle persone interessate. Inoltre, i documenti dovrebbero essere dotati di una protezione per le copie e di un blocco della stampante, oltre che di un contratto per Elaborazione dell'ordine essere stipulato con il fornitore della data room.

Dopo il completamento della transazione

Una volta completata un'operazione di fusione e acquisizione, di solito è necessario istituire una nuova organizzazione per la protezione dei dati, che potrebbe dover soddisfare i requisiti legali di diversi Paesi: dagli obblighi di responsabilità, informazione e rendicontazione ai diritti delle persone interessate. Anche le organizzazioni esistenti possono dover essere Base giuridica I dati dei clienti dell'azienda acquisita, ad esempio, possono essere utilizzati a fini pubblicitari dall'acquirente.

Anche quando si fondono sistemi IT diversi, i requisiti della GDPR devono essere rispettati. Inoltre, devono essere verificate le misure tecniche e organizzative dei fornitori di servizi e devono essere stipulati contratti per l'elaborazione degli ordini o per l'elaborazione dei dati. Clausole contrattuali standard da chiudere. Anche gli obblighi di cancellazione e di ulteriore conservazione devono essere rivisti, eventualmente anche in caso di chiusura (parziale) dell'azienda acquisita.

La vostra azienda sta pianificando un'acquisizione? O sta per essere acquisita? 2B Advice sarà lieta di fornirvi una consulenza esperta su come riconoscere, ridurre e gestire i potenziali rischi di protezione dei dati in un'operazione di M&A.

Mettetevi in contatto con noi oggi stesso! Non vediamo l'ora di affrontare insieme a voi una sfida entusiasmante: 0228 / 926165 -100.