Quando un’azienda ne acquisisce un’altra, compra anche tutti i suoi problemi, compresi quelli che riguardano i dati personali di clienti, dipendenti, fornitori e partner commerciali. La protezione dei dati personali nelle fusioni e acquisizioni (in gergo tecnico, operazioni di M&A, dall’inglese Mergers & Acquisitions) è oggi un fattore che può far saltare un’intera operazione.

Questo riguarda direttamente chi compra. Se l’azienda acquisita gestiva male i dati personali, le conseguenze ricadono sull’acquirente dal giorno della firma. Il GDPR (art. 83) prevede sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo globale dell’intero gruppo, e le applica al titolare del trattamento al momento in cui l’autorità interviene. Anche se il problema esisteva prima dell’acquisizione, a pagare è chi ha comprato.

Per questo, prima di chiudere un’acquisizione serve un’analisi approfondita di come l’azienda in vendita gestisce i dati personali. Questa analisi si chiama due diligence privacy (letteralmente, “dovuta diligenza”: la verifica che un acquirente prudente farebbe prima di firmare). Molte PMI italiane saltano questo passaggio e si ritrovano con sanzioni, costi di adeguamento imprevisti e database clienti inutilizzabili.

In questo articolo vediamo cosa verificare e come organizzare il processo.

Perché la privacy è diventata un fattore critico nelle operazioni M&A

Fino a pochi anni fa, la conformità alla normativa sulla protezione dei dati personali veniva trattata come un dettaglio secondario nelle acquisizioni. Una riga generica nel contratto, una clausola standard, e la questione era chiusa. La due diligence si concentrava su bilanci, debiti, contenziosi fiscali e rapporti con i dipendenti. I dati personali non venivano nemmeno menzionati.

Dal 2018, con l’entrata in vigore del GDPR, lo scenario è cambiato. Le autorità garanti europee hanno iniziato a sanzionare aziende acquirenti per problemi ereditati dalle società acquisite (il caso Marriott, che vedremo più avanti, è il più noto). I consulenti che seguono le acquisizioni hanno iniziato a inserire la privacy come voce specifica nell’analisi pre-acquisizione. I fondi di investimento oggi chiedono un report sullo stato della conformità privacy prima di procedere con un’offerta. Da nota a piè di pagina, è diventata un elemento che può far cambiare il prezzo o bloccare un’operazione.

Il motivo è che i dati personali sono un patrimonio aziendale con un valore economico concreto. I database clienti, le anagrafiche fornitori, i fascicoli del personale, i consensi marketing raccolti negli anni valgono denaro.
Ma a differenza degli immobili o dei macchinari, questo patrimonio può nascondere un debito invisibile. Gli esperti lo chiamano debito privacy.
Funziona come i difetti nascosti in un impianto industriale: si accumulano nel tempo, non si vedono dall’esterno e saltano fuori solo quando qualcuno va a controllare.
Informative mai aggiornate dal 2015, consensi marketing raccolti con un modulo che non rispettava i requisiti del GDPR, contratti con i fornitori IT mai formalizzati, misure di sicurezza rimaste ferme a cinque anni fa, fascicoli del personale con dati sanitari conservati senza una giustificazione giuridica adeguata. Ognuna di queste voci è una passività nascosta che l’acquirente si porta a casa insieme all’azienda.

Il GDPR ha reso questo debito molto più pericoloso. Chi tratta dati personali deve poter dimostrare di farlo in modo corretto, con documenti, procedure e prove concrete (è il principio di responsabilizzazione, previsto dall’art. 5, paragrafo 2, del Regolamento). Dire “siamo a posto” non basta più. E se l’azienda acquisita non è in grado di dimostrarlo, il problema diventa dell’acquirente dal momento della firma.

Cosa succede ai dati personali durante una fusione o un’acquisizione

In una fusione, l’azienda che incorpora subentra per legge in tutti i rapporti dell’azienda incorporata, inclusi quelli legati ai dati personali (art. 2504-bis del Codice Civile). Diventa il nuovo titolare del trattamento, cioè il soggetto giuridicamente responsabile di come quei dati vengono gestiti, e ha un obbligo immediato: informare tutte le persone coinvolte del cambio.

Il Garante per la protezione dei dati personali lo ha stabilito con un provvedimento specifico dell’8 aprile 2009 (doc. web n. 1609999), che resta valido e applicato ancora oggi. Le modalità previste sono due: un avviso generale sui siti web delle aziende coinvolte, e una comunicazione individuale alla prima occasione utile di contatto con ogni persona interessata.
Il GDPR ha rafforzato questo obbligo: l’art. 14 del Regolamento fissa un termine massimo di un mese per informare le persone i cui dati sono passati al nuovo titolare.
Se l’azienda non informa le persone coinvolte nei tempi previsti, chiunque scopra che i propri dati sono passati a un nuovo soggetto senza essere stato avvisato può presentare un reclamo al Garante.

Queste regole valgono anche per le cessioni di azienda o di rami d’azienda. Quando si vendono direttamente attività specifiche (beni, contratti, rapporti) anziché le quote della società, i dati personali vengono trasferiti fisicamente da un soggetto a un altro. In questo caso l’acquirente diventa un titolare del trattamento completamente nuovo, con tutti gli obblighi che ne derivano.

Se invece si acquistano le quote della società, la situazione è diversa: la società resta la stessa e il titolare del trattamento non cambia, quindi gli obblighi informativi verso le persone coinvolte sono meno gravosi.

La due diligence privacy: cosa verificare prima dell’acquisizione

Vediamo nel concreto cosa controllare nell’azienda in vendita prima di procedere con l’acquisizione. Le aree da esaminare sono diverse, ma tre meritano attenzione particolare.

Il registro dei trattamenti (art. 30 del GDPR) è il punto di partenza. È il documento che descrive quali dati vengono trattati, per quali finalità, con quale giustificazione giuridica e per quanto tempo vengono conservati. Se manca o è incompleto, è un segnale di allarme serio, anche perché è il primo documento che il Garante chiede in caso di ispezione.

Poi vanno verificate le informative e la raccolta dei consensi, in particolare quelli relativi a marketing, profilazione e comunicazione a terzi. Un database di 50.000 contatti vale molto, ma solo se è stato costruito raccogliendo i consensi in modo corretto. Altrimenti quei contatti diventano inutilizzabili, e in caso di controllo, anche un problema.

Altra area critica: i contratti con i fornitori che trattano dati per conto dell’azienda (i cosiddetti responsabili del trattamento). L’art. 28 del GDPR richiede che questi rapporti siano regolati da contratti scritti con obblighi, misure di sicurezza e limiti precisi. Chi gestisce il CRM? A chi è affidata l’elaborazione delle buste paga? Quale fornitore eroga il servizio cloud? Ognuno di questi fornitori deve avere un contratto conforme.

Oltre a queste tre aree, vanno esaminate le procedure con cui l’azienda risponde alle richieste delle persone sui propri dati (accesso, cancellazione, portabilità) e le misure di sicurezza informatica adottate. Se l’azienda ha subìto violazioni di dati in passato, è importante capire come le ha gestite e se ha notificato correttamente il Garante. Va verificata anche la presenza di un DPO dove previsto dalla legge e l’eventuale svolgimento di valutazioni d’impatto (DPIA) per i trattamenti più rischiosi (art. 35 del GDPR).

Se durante questa analisi emergono problemi, l’acquirente ha diverse opzioni: chiedere una riduzione del prezzo per compensare i costi di adeguamento, inserire nel contratto garanzie specifiche e clausole di indennizzo, oppure vincolare la chiusura dell’operazione alla risoluzione dei problemi più gravi. In alcuni casi, i problemi possono essere tali da consigliare di rinunciare all’acquisizione.

La data room e il rischio di violazione durante la trattativa

Un aspetto che molte aziende sottovalutano è che già la fase di analisi prima dell’acquisizione comporta un trasferimento di dati personali.
L’azienda in vendita condivide con il potenziale acquirente e i suoi consulenti documenti che contengono dati di dipendenti, clienti, fornitori e partner commerciali. Fascicoli del personale, anagrafiche clienti, contratti con i fornitori: tutto questo finisce in uno spazio dedicato chiamato data room (può essere una stanza fisica con faldoni e archivi, ma oggi nella maggior parte dei casi è una piattaforma digitale protetta dove i documenti vengono caricati e consultati online) e quindi nelle mani di soggetti esterni.

L’accordo di riservatezza (NDA) firmato prima della due diligence deve contenere clausole specifiche sulla protezione di questi dati.
Il GDPR richiede che ogni trasferimento di dati personali abbia una giustificazione giuridica: in questo caso è generalmente il legittimo interesse del venditore (art. 6, paragrafo 1, lettera f del GDPR), che però va documentato con un’analisi che dimostri che i diritti delle persone coinvolte sono stati considerati.

La data room deve garantire accessi controllati e tracciabili per ogni persona autorizzata, e la cancellazione di tutti i documenti se la trattativa non va in porto. La prassi raccomandata è usare piattaforme che permettano di assegnare permessi diversi a ogni singolo consulente o soggetto coinvolto, in modo da sapere sempre chi ha visto cosa.

Se la trattativa salta e l’accordo di riservatezza non prevede obblighi di cancellazione dei dati, il potenziale acquirente resta in possesso di informazioni personali di dipendenti e clienti dell’azienda, senza alcuna giustificazione giuridica per conservarle. A quel punto l’azienda venditrice ha condiviso dati personali con un soggetto esterno che non ha più ragione di detenerli, e in caso di reclamo da parte di una delle persone coinvolte, la responsabilità ricade su chi ha permesso quel trasferimento senza garanzie adeguate.

Cosa fare dopo la chiusura dell’operazione: l’analisi delle lacune privacy

Firmato il contratto e completata l’acquisizione (la fase che in gergo tecnico si chiama closing), il lavoro sulla privacy è tutt’altro che finito. Anzi, è il momento in cui inizia la parte operativa.

L’acquirente deve condurre quella che si chiama gap analysis, cioè un’analisi che mette a confronto come l’azienda acquisita gestisce i dati personali oggi e come dovrebbe gestirli secondo il GDPR. L’obiettivo è capire dove ci sono lacune, quali sono le più urgenti e come intervenire.

Le aree da aggiornare sono le stesse esaminate prima dell’acquisizione, ma ora il lavoro è diverso: non si tratta più di verificare, ma di mettere a norma.

Il registro dei trattamenti (art. 30 del GDPR) va riscritto con il nuovo assetto societario: nuovo titolare, nuove finalità se cambiano, nuovi flussi di dati se le due aziende integrano i propri sistemi. Se l’azienda acquisita non aveva un registro, va creato da zero.

Le informative privacy rivolte a clienti, dipendenti e fornitori devono essere aggiornate con i dati del nuovo titolare del trattamento: nome, contatti, riferimenti del DPO se presente. Questo aggiornamento va fatto entro un mese dalla chiusura dell’operazione (art. 14 del GDPR) e non è un dettaglio formale: un’informativa con i dati del vecchio titolare è un’informativa sbagliata.

I contratti con i fornitori che trattano dati per conto dell’azienda vanno rinegoziati o quantomeno integrati. Il nuovo titolare potrebbe avere standard di sicurezza diversi, policy diverse, esigenze diverse. In alcuni casi conviene sostituire il fornitore. In altri basta aggiornare il contratto esistente. Ma lasciarli com’erano prima dell’acquisizione significa che il nuovo titolare risponde di un rapporto contrattuale che non ha mai verificato.

Le misure di sicurezza informatica vanno allineate agli standard dell’acquirente. Se l’azienda acquisita usava password deboli, backup irregolari o sistemi operativi non aggiornati, queste vulnerabilità ora sono un problema dell’acquirente. L’art. 32 del GDPR richiede misure di sicurezza adeguate al rischio, e il livello di rischio va rivalutato alla luce del nuovo assetto.

Un altro passaggio delicato è la migrazione dei dati da un sistema informatico all’altro, quando l’azienda acquisita e l’acquirente usano software diversi. Il GDPR richiede che durante questo trasferimento vengano spostati solo i dati effettivamente necessari (è il principio di minimizzazione, art. 5, paragrafo 1, lettera c) e che la migrazione avvenga con misure di sicurezza adeguate (art. 32). Copiare tutto senza filtro, oltre a essere rischioso, è una violazione.

Caso reale: Marriott International e l’acquisizione di Starwood Hotels

Nel 2016, Marriott International ha acquisito Starwood Hotels and Resorts Worldwide. Due anni dopo, nel settembre 2018, Marriott ha scoperto che i sistemi informatici di Starwood erano stati compromessi fin dal 2014, ben prima dell’acquisizione. Un attacco informatico rimasto silente per anni aveva esposto i dati personali di circa 339 milioni di ospiti in tutto il mondo: nomi, indirizzi email, numeri di telefono e, in alcuni casi, numeri di passaporto e dati delle carte di pagamento.
L’ICO (Information Commissioner’s Office), l’autorità britannica per la protezione dei dati, ha indagato sul caso per conto di tutte le autorità europee e ha inizialmente annunciato una sanzione di 99 milioni di sterline. La multa finale è stata ridotta a 18,4 milioni di sterline (circa 20,4 milioni di euro), anche per l’impatto economico del COVID-19 sul gruppo, ma ha colpito Marriott. L’acquirente, non chi aveva causato il problema.

La motivazione dell’ICO è stata netta: Marriott avrebbe dovuto verificare meglio lo stato dei sistemi informatici prima dell’acquisizione, e avrebbe dovuto intervenire prima per metterli in sicurezza dopo. Il fatto che la violazione fosse iniziata anni prima del passaggio di proprietà non ha cambiato nulla.

Caso reale: Marriott International e l'acquisizione di Starwood Hotels

Scenario ipotetico 1: la PMI manifatturiera che acquisisce un concorrente

Un’azienda manifatturiera del Nord Italia con 80 dipendenti acquisisce un concorrente locale con 40 dipendenti. L’operazione è di dimensioni contenute, il prezzo viene concordato rapidamente, l’analisi pre-acquisizione si concentra su aspetti finanziari e fiscali. La privacy non viene nemmeno presa in considerazione.

Sei mesi dopo la chiusura dell’operazione, un ex dipendente dell’azienda acquisita chiede di accedere ai propri dati personali, come previsto dall’art. 15 del GDPR. A quel punto l’acquirente scopre tre problemi: l’azienda acquisita conservava fascicoli del personale con dati sanitari senza una giustificazione giuridica adeguata, le informative ai dipendenti non erano mai state aggiornate, e il vecchio consulente del lavoro continuava a trattare dati senza un contratto conforme all’art. 28 del GDPR.

Per rispondere alla richiesta dell’ex dipendente e sanare le irregolarità servono settimane di lavoro, consulenze legali e revisione di tutta la documentazione. Ma lo scenario poteva andare molto peggio: se l’ex dipendente avesse presentato un reclamo al Garante anziché una semplice richiesta di accesso, l’azienda avrebbe rischiato un’ispezione e una sanzione amministrativa calcolata sul proprio fatturato, non su quello dell’azienda acquisita.

Scenario di acquisizione senza due diligence privacy

Scenario ipotetico 2: la cessione del ramo d’azienda e-commerce

Una società di servizi cede il proprio ramo d’azienda e-commerce a un gruppo più grande. Il ramo comprende un database di 120.000 clienti con storico acquisti, preferenze, indirizzi di consegna e consensi marketing. L’acquirente considera quel database il cuore dell’operazione, il motivo principale per cui sta comprando.

Dopo la cessione, l’acquirente avvia una campagna di email marketing usando i dati acquisiti. Un’analisi più attenta rivela però che circa il 35% dei consensi marketing era stato raccolto con un modulo che non spiegava chiaramente a cosa servissero i dati e che non registrava la data e l’ora in cui la persona aveva dato il consenso.

Risultato: il 35% del database clienti, la parte di maggior valore dell’operazione, è inutilizzabile per inviare comunicazioni commerciali. L’acquirente deve ricontattare decine di migliaia di persone per ottenere un consenso valido, e i tassi di risposta in questi casi superano raramente il 10-15%. In pratica, buona parte di quello che ha comprato non vale nulla.

Cessione del ramo d'azienda

 

Checklist operativa: cosa verificare prima di un’acquisizione

Abbiamo analizzato nel dettaglio ogni aspetto nelle sezioni precedenti. Qui li riassumiamo in una checklist da usare come riferimento rapido durante la due diligence privacy. Gli elementi da controllare si raggruppano in cinque aree.

Chi gestisce la privacy nell’azienda.
L’azienda ha un DPO (il responsabile della protezione dei dati, obbligatorio in alcuni casi secondo l’art. 37 del GDPR)? Esistono procedure interne scritte per la gestione dei dati? Il registro dei trattamenti è aggiornato? Qualcuno si occupa attivamente di privacy o è una funzione che esiste solo sulla carta?

Su quale base vengono trattati i dati.
Ogni trattamento di dati personali ha bisogno di una giustificazione giuridica: un consenso, un contratto, un obbligo di legge o un interesse legittimo documentato. Vanno verificati con attenzione particolare i consensi raccolti per marketing e profilazione, che sono quelli più spesso irregolari.

Quanto sono protetti i dati.
Quali misure di sicurezza informatica sono state adottate? Ci sono stati incidenti o violazioni in passato e come sono stati gestiti? Sono stati fatti test di sicurezza sui sistemi? Esistono procedure di backup e di ripristino in caso di emergenza?

I rapporti con i fornitori.
Tutti i fornitori che trattano dati per conto dell’azienda (il provider del CRM, il consulente del lavoro, il servizio cloud) devono avere un contratto conforme all’art. 28 del GDPR. Se l’azienda trasferisce dati fuori dall’Unione Europea, servono garanzie specifiche. Se dopo l’acquisizione le due aziende continuano a gestire gli stessi dati insieme, ad esempio condividendo lo stesso database clienti, serve un accordo scritto che definisca chi fa cosa e chi risponde di cosa (il cosiddetto accordo di contitolarità, previsto dall’art. 26 del GDPR).

Come vengono gestite le richieste delle persone.
Quando un cliente, un dipendente o un fornitore chiede di accedere ai propri dati, di cancellarli o di trasferirli altrove, l’azienda deve rispondere entro 30 giorni (art. 12 del GDPR). Vanno verificati i tempi di risposta reali, le procedure esistenti e se ci sono reclami aperti o contenziosi in corso con il Garante.

Chi serve al tavolo: il ruolo del consulente privacy

In un’acquisizione lavorano avvocati, commercialisti e consulenti finanziari. Nessuno di questi profili ha di solito competenze specifiche sulla protezione dei dati personali, e la privacy finisce in fondo alla lista delle priorità.

Un consulente privacy o un DPO esterno con esperienza in acquisizioni e cessioni serve proprio a colmare questo vuoto. È la figura che analizza come l’azienda da acquisire gestisce i dati personali e quantifica il rischio in termini economici: quanto costerebbe mettersi in regola, quanto si rischia in caso di sanzione, quanto valgono davvero i database che l’acquirente sta comprando.
È anche chi individua le clausole da inserire nel contratto a tutela dell’acquirente, come le garanzie sulla conformità privacy, gli obblighi di indennizzo se emergono problemi, e la possibilità di vincolare la chiusura dell’operazione alla risoluzione delle criticità più gravi.
Dopo la firma, è la stessa figura che pianifica l’analisi delle lacune, l’aggiornamento delle informative, la rinegoziazione dei contratti con i fornitori e l’allineamento dei sistemi informatici.

Per una PMI che affronta questo tipo di operazione per la prima volta, avere al tavolo qualcuno che ha già gestito questi processi fa la differenza tra un’integrazione ordinata e mesi di rincorse per sanare problemi che si potevano prevenire.

FAQ – Domande frequenti

Serve il consenso delle persone coinvolte per trasferire i dati durante una fusione?
No. In una fusione per incorporazione, l’azienda che incorpora subentra per legge in tutti i rapporti dell’azienda incorporata, compresi quelli legati ai dati personali. I dati continuano a essere trattati per le stesse finalità e con la stessa giustificazione giuridica di prima, quindi un consenso specifico per il trasferimento non è necessario. Resta però l’obbligo di informare tutte le persone coinvolte del cambio di titolare, come previsto dal provvedimento del Garante dell’8 aprile 2009 (doc. web n. 1609999) e dall’art. 14 del GDPR. In pratica: un avviso sul sito web e una comunicazione individuale alla prima occasione di contatto.

Cosa rischia concretamente chi acquista un’azienda senza verificare la conformità privacy?
Le sanzioni amministrative previste dall’art. 83 del GDPR arrivano fino a 20 milioni di euro o al 4% del fatturato annuo globale, e colpiscono chi detiene i dati al momento del controllo, anche per violazioni commesse dal precedente proprietario. Oltre alle sanzioni, l’acquirente si fa carico dei costi per mettere a norma un sistema carente e rischia di scoprire che parte dei dati acquisiti, ad esempio i database clienti con consensi marketing irregolari, è inutilizzabile. Il danno reputazionale, in caso di violazione resa pubblica, si aggiunge ai costi diretti.

L’accordo di riservatezza firmato prima dell’analisi copre anche la privacy?
Raramente. Un accordo di riservatezza standard protegge le informazioni commerciali ma quasi mai contiene clausole specifiche sulla protezione dei dati personali secondo il GDPR. Va integrato con clausole che regolino come vengono trattati i dati personali contenuti nei documenti condivisi, quali misure di sicurezza deve avere la data room, cosa succede ai dati se la trattativa non si chiude, e quale ruolo ha l’acquirente rispetto a quei dati durante la fase di analisi.

Il provvedimento del Garante del 2009 sulle fusioni è ancora valido?
Sì. Il provvedimento dell’8 aprile 2009 (doc. web n. 1609999) è precedente al GDPR, ma i suoi principi restano applicabili e il Garante continua a citarlo nei propri provvedimenti. Il GDPR ha rafforzato gli obblighi informativi e aggiunto la necessità di condurre una valutazione d’impatto (DPIA) quando il nuovo assetto societario comporta trattamenti ad alto rischio. Il provvedimento del 2009 resta il riferimento operativo per le modalità con cui comunicare il cambio di titolare alle persone coinvolte.

Quando va coinvolto un consulente privacy in un’acquisizione?
Prima possibile, idealmente prima di iniziare l’analisi pre-acquisizione. Il consulente privacy va coinvolto nello stesso momento in cui si coinvolge il commercialista o l’avvocato: deve poter definire cosa verificare, preparare la checklist e partecipare alla revisione dei documenti nella data room. Coinvolgerlo solo dopo la firma significa rinunciare alla possibilità di inserire clausole di tutela nel contratto e di calcolare correttamente il rischio privacy nel prezzo dell’operazione. In molti casi, le criticità più costose da risolvere dopo l’acquisizione sono proprio quelle che un consulente privacy avrebbe individuato in poche ore di analisi nella data room.

Il rischio privacy può influire sul prezzo di un’acquisizione?
Sì, e in modo significativo. I costi diretti comprendono l’adeguamento per portare l’azienda acquisita a conformità: aggiornamento delle informative, rinegoziazione dei contratti con i fornitori, rafforzamento delle misure di sicurezza. I costi indiretti comprendono il rischio di sanzioni per violazioni precedenti e la possibilità che parte dei database acquisiti risulti inutilizzabile. Nel 2017 Verizon ha rinegoziato il prezzo di acquisizione di Yahoo ottenendo una riduzione di 350 milioni di dollari (da 4,8 a 4,48 miliardi) dopo la scoperta di violazioni che avevano esposto oltre un miliardo di account.

Cosa succede se l’azienda acquisita non ha mai nominato un DPO pur essendo obbligata?
Il GDPR (art. 37) prevede l’obbligo di nominare un DPO (responsabile della protezione dei dati) in tre casi: quando il trattamento è svolto da un’autorità pubblica, quando l’attività principale dell’azienda richiede un monitoraggio regolare e sistematico delle persone su larga scala, oppure quando l’azienda tratta su larga scala dati particolari come quelli sanitari, biometrici o relativi a condanne penali.

Se l’azienda acquisita rientrava in uno di questi casi e non aveva nominato un DPO, l’acquirente eredita la violazione e deve rimediare immediatamente. La mancata nomina è sanzionabile ai sensi dell’art. 83, paragrafo 4, del GDPR con multe fino a 10 milioni di euro o al 2% del fatturato annuo globale.

Il primo passo è nominare un DPO senza ritardo e documentare la nomina. Poi l’acquirente deve verificare se nel periodo in cui il DPO mancava ci sono state situazioni che avrebbero richiesto il suo intervento, come richieste di accesso ai dati rimaste senza risposta o violazioni gestite senza supervisione.

Stai valutando un’acquisizione o una cessione e vuoi verificare i rischi privacy prima che diventino un problema?

Scopri come affianchiamo le aziende in queste operazioni