Protezione dei dati per le vendite aziendali
La protezione dei dati è importante nelle operazioni di fusione e acquisizione? Oppure è "bella da avere" e può essere trascurata a favore di fatti commerciali "concreti"? A queste domande si può rispondere rapidamente. Una protezione dei dati conforme alla legge è sicuramente un fattore di business. La violazione dei requisiti del GDPR può comportare multe fino a 20 milioni di euro o fino al 4% del fatturato globale dell'anno precedente.
Il gruppo alberghiero Marriott, ad esempio, è stato multato per 110 milioni di euro nel 2019 per le conseguenze di un attacco informatico a un gruppo alberghiero acquisito nel 2014. Sebbene questa multa sia stata successivamente ridotta a 20 milioni di euro, dimostra chiaramente che le carenze nell'organizzazione della protezione dei dati di un'azienda target possono comportare rischi considerevoli per l'acquirente.
Occorre inoltre chiarire la questione della base giuridica su cui i dati personali possono essere trasferiti dalla società target al potenziale acquirente. È necessario il consenso? O può essere basato su un interesse legittimo? Anche qui si nascondono notevoli insidie.
La protezione dei dati come parte della due diligence
Indipendentemente dal tipo di transazione (cessione di azioni, asset deal o fusione), la questione della protezione dei dati dovrebbe sempre far parte del processo di due diligence. La due diligence è un'analisi economica e legale dettagliata dell'azienda target. L'obiettivo è identificare i rischi, minimizzarli e/o "prezzarli".
Il seguente elenco di domande può essere utile:
- Quali categorie di dati personali tratta l'azienda target? Quali rischi ne possono derivare? Quali leggi sono rilevanti?
- Come e per quale scopo dovranno essere utilizzati in futuro i dati dell'azienda target? Quale base giuridica può essere utilizzata a tal fine? Ad esempio, esistono consensi documentati per scopi pubblicitari? Quali obblighi di informazione esistono nei confronti degli interessati?
- Qual è lo stato dell'organizzazione per la protezione dei dati dell'azienda target? L'elenco dei trattamenti, la politica di protezione dei dati, i processi necessari per l'elaborazione degli ordini, i diritti degli interessati o il trasferimento dei dati verso paesi terzi sono completi e aggiornati? In caso contrario, quali risorse sono necessarie per raggiungere uno stato attuale accettabile?
- Esistono misure tecniche e organizzative adeguate presso l'azienda target e i suoi fornitori di servizi?
- Quali indicazioni forniscono le violazioni di dati avvenute in passato sui rischi ancora presenti nell'azienda target?
Una volta identificati i rischi, gli effetti e le possibili contromisure devono essere oggetto di un'analisi approfondita, una sorta di "valutazione dell'impatto della fusione".
Nell'ambito del processo di due diligence, un potenziale acquirente può avere accesso a sistemi informatici contenenti dati personali di dipendenti e clienti dell'azienda target. È necessario ottenere preventivamente dichiarazioni di riservatezza e obblighi di riservatezza. Inoltre, deve essere chiarita la base giuridica per il trasferimento dei dati dalla società target al potenziale acquirente. Potrebbe trattarsi di consenso nel caso di poche persone, o di interesse legittimo nel caso di un gran numero di persone, ma solo dopo aver effettuato una ponderazione degli interessi, in base alla quale devono essere fornite informazioni ai sensi dell'art. 13 o 14 del GDPR in ciascun caso e deve essere indicato il diritto di opposizione. Occorre inoltre verificare se le stesse finalità non possano essere raggiunte con dati aggregati o pseudonimizzati. Anche in questo caso si applicano i principi di economia e minimizzazione dei dati.
Se possibile, nessuna categoria speciale di dati personali deve essere memorizzata nella "Data Room". Se ciò si rendesse necessario, allora solo con il previo consenso informato degli interessati. Inoltre, i documenti devono essere protetti da copie e bloccati contro la stampa e deve essere stipulato un contratto per l'elaborazione degli ordini con il fornitore della sala dati.
Dopo il completamento della transazione
Una volta completata un'operazione di fusione e acquisizione, di solito è necessario istituire una nuova organizzazione per la protezione dei dati, che potrebbe dover soddisfare i requisiti legali di diversi Paesi: dagli obblighi di responsabilità, informazione e rendicontazione ai diritti delle persone interessate. Potrebbe anche essere necessario rivedere le basi giuridiche esistenti, ad esempio quando si utilizzano i dati dei clienti dell'azienda acquisita per scopi pubblicitari dell'acquirente.
I requisiti del GDPR devono essere rispettati anche quando si fondono diversi sistemi informatici. Inoltre, è necessario verificare le misure tecniche e organizzative dei fornitori di servizi e stipulare contratti di elaborazione degli ordini o clausole contrattuali standard. Devono essere esaminati anche gli obblighi di cancellazione e di ulteriore conservazione, anche in caso di chiusura (parziale) dell'azienda acquisita.
La vostra azienda sta pianificando un'acquisizione? O sta per essere acquisita? 2B Advice sarà lieta di fornirvi una consulenza esperta su come riconoscere, ridurre e gestire i potenziali rischi di protezione dei dati in un'operazione di M&A.
Mettetevi in contatto con noi oggi stesso! Non vediamo l'ora di affrontare insieme a voi una sfida entusiasmante: 0228 / 926165 -100.