Capita sempre più spesso che l’attrattiva principale di un’azienda sia costituita dalle sue banche di dati.

A seconda del settore in cui opera esse potranno contenere marchi e brevetti, informazioni commerciali, strategie imprenditoriali. Ma potranno anche essere semplicemente liste di contatti-persone fisiche, ossia contenitori di dati personali.

In quest’ultimo caso l’utilizzo dei dati presuppone che la loro raccolta ed il loro trattamento avvengano nel rispetto della normativa sulla privacy, recentemente riformata dal GDPR (Reg. UE 2016/679) ma già esistente sin da metà degli anni ‘90.

Se si considera che la normativa prevede l’inutilizzabilità dei dati personali raccolti contra legem, è chiaro che la questione diventa centrale nelle operazioni di fusione o acquisizione di società o di trasferimenti di aziende.

Se, da un lato, nessun imprenditore avveduto si sognerebbe mai di acquisire un’azienda, un suo ramo o una società senza averne in via preventiva esaminato i conti, a pochi viene in mente di includere nella due diligence preliminare anche valutazioni sulla bontà delle banche di dati personali.

I rischi derivanti dall’utilizzo di dati raccolti in maniera non corretta

– L’inutilizzabilità dei dati.

Come già anticipato, i dati personali raccolti senza rispettare le regole poste dalla normativa di settore sono inutilizzabili.

Nell’affrontare operazioni di M&A, specie quelle in cui i dati personali costituiscano un asset rilevante (se non addirittura l’asset che determina l’interesse all’operazione) è fondamentale effettuare valutazioni preventive, almeno a campione, sulle modalità di raccolta attuate dal cedente, verificando ad esempio la completezza delle informative e la validità dei consensi espressi ai singoli trattamenti (o la sussistenza di altra base giuridica idonea).

Ma non solo. I dati raccolti correttamente hanno comunque una scadenza, non possono essere trattati sine die; la durata dei trattamenti deve desumersi dall’informativa privacy che viene resa all’interessato nel momento in cui i suoi dati vengono raccolti (ed, eventualmente, aggiornata in seguito).

– Le sanzioni.

Nel caso in cui i dati personali “acquistati” (o, comunque, acquisiti) vengano utilizzati nonostante la – virtuale – inutilizzabilità derivante da irregolarità nella raccolta i rischi sono notevoli.

Il GDPR prevede sanzioni fino a € 10 milioni o € 20 milioni (o fino al 2% o al 4% del fatturato mondiale dell’anno precedente, se superiore). Si rischiano inoltre, in taluni casi, responsabilità penali e richieste risarcitorie in sede civile su istanza proposta dai soggetti i cui dati siano stati utilizzati in violazione di legge.

E il cessionario non potrà liberarsi da responsabilità semplicemente dicendo che non sapeva…

– Il danno d’immagine.

Non vanno trascurate neppure le ricadute che la contestazione delle violazioni della privacy possono determinare per il trasgressore sotto il profilo reputazionale.

Si pensi, ad esempio, alla perdita o sottrazione di dati derivante dalla mancanza di adeguata cura nella loro conservazione. Si pensi al danno d’immagine che può derivare ad un market place dal furto dei dati delle carte di credito dei suoi clienti che, con ogni probabilità, valuteranno con maggior rigore l’opportunità di continuare a fare acquisti tramite quel portale.

Closing or not?

Alla luce delle considerazioni che precedono deve concludersi che la conformità o meno al GDPR e/o l’emersione di eventuali violazioni commesse nel trattamento dei dati personali sono elementi che dovrebbero influire, anche pesantemente, sulla determinazione delle condizioni economiche dell’operazione di M&A (o sull’opportunità di inserimento di clausole contrattuali specifiche), fino ad incidere sull’interesse stesso alla conclusione dell’affare.

Basti pensare che le conseguenze negative di eventuali violazioni nel trattamento dei dati, data breach, reclami o contenziosi che dovessero emergere successivamente al closing potrebbero ricadere (almeno in prima battuta) sul cessionario, che deve pertanto essere in grado di stimare ex ante – anche in termini economici – l’entità del rischio.

Per fare un esempio concreto si ricorda la nota vicenda VerizonYahoo: nel 2016 Verizon – colosso americano delle telecomunicazioni – ottenne uno sconto di ben 350 milioni di dollari sul prezzo precedentemente concordato per l’acquisto di Yahoo proprio in considerazione delle maxi violazioni privacy che avevano interessato milioni di account Yahoo nel periodo anteriore all’operazione, le cui conseguenze sanzionatorie sarebbero tuttavia ricadute sulla società acquirente.

La compliance alla normativa privacy, in definitiva, può avere effetti anche molto rilevanti sul valore di un’azienda.