Come noto, l’attività di due diligence è finalizzata a ottenere una “fotografia” della target che si intende acquisire (sia essa una società o un’azienda) per quanto concerne gli aspetti regolamentari, legali, fiscali e finanziari, contrattuali e di compliance, al fine di consentire al buyer di avere una visione globale della target e del suo business, dei vari asset e delle liabilities. Più nel dettaglio, dopo aver esaminato le suddette informazioni, il buyer otterrà un quadro conoscitivo che gli consentirà di prendere una decisione “informata” in merito all’effettiva convenienza strategica dell’operazione: sostanzialmente, dovrà decidere se portare a termine il deal, quanto valutare la target, il prezzo di acquisizione e le protezioni contrattuali (condizioni sospensive, manleve, etc.) da ottenere dal venditore. Insomma, lo scopo della due diligence è di ridurre l’asimmetria informativa tra chi vende e chi compra, tenendo conto che, da un lato, chi vende conosce il proprio business, e sarà ovviamente intenzionato a mettere in risalto i propri punti di forza; dall’altro lato, chi si appresta ad assumere il controllo di una nuova realtà deve essere sicuro di avere fatto una scelta corretta.
È prassi che le parti si accordino affinché il venditore metta a disposizione una serie di documenti, tutti preventivamente concordati ed elencati in una check list (variabile a seconda del settore commerciale in cui si opera), dai quali emergeranno, inter alia, informazioni:
- sulla struttura di governance della target;
- sulla sussistenza di eventuali contenziosi;
- sui rapporti contrattuali;
- sugli aspetti finanziari e contabili;
- sulla compliance della target alle varie legislazioni di settore (i.e. privacy, antitrust, 231/01, ecc.).
La data protection
Dal punto di vista della data protection i temi in gioco in relazione alla fase preparatoria sono molteplici, si proverà a segnalarne alcuni:
- La comunicazione e la consultazione di dati sono trattamenti (art. 4 Regolamento UE 2016/679 GDPR). Qual è la base giuridica? Appare possibile individuarla nell’art. 6.1 (f) del GDPR, cioè a dire nel legittimo interesse, tanto della società target che del potenziale acquirente, alla conclusione dell’affare. È, in particolare, evidente l’interesse di entrambi a, rispettivamente, dare ed avere accesso a dati personali, quali in particolare quelli dei dipendenti, nella misura in cui questi siano necessari a consentire alle parti di comprendere rischi e opportunità dell’operazione. Si pensi ad esempio al caso di controversie, non solo giuslavoristiche, in atto o minacciate, che possono comportare il rischio dell’insorgenza di passività anche ingenti a carico della target (e quindi dell’acquirente nel caso di perfezionamento dell’operazione).
Si tenga, però, presente che qualunque operazione di trattamento, anche se in ipotesi lecita ai sensi dell’art. 6 GDPR, deve comunque essere rispettosa dei principi generali di cui all’art. 5, tra cui di particolare rilievo è il principio di minimizzazione del trattamento, per cui il trattamento deve essere pertinente e limitato a quanto strettamente necessario rispetto alle finalità perseguite. In applicazione del principio di minimizzazione, dunque, tornando all’esempio del trasferimento di dati personali nel contesto di un’operazione di acquisizione, se l’acquirente potenziale dovesse chiedere di avere accesso ad informazioni relative agli stipendi dei dipendenti, tale richiesta si potrebbe ritenere giustificata in base al legittimo interesse nei termini innanzi descritti; allo stesso tempo, però, sarebbe importante che le informazioni siano fornite in forma anonimizzata, con la sola eccezione, da valutare caso per caso, di quei top managers la cui specifica indicazione potrebbe assumere rilevanza ai fini della chiusura dell’operazione.
Il due diligence report e l’executive summary non dovranno, naturalmente recare indicazioni di dati personali.
- Nella fase di due diligence, è inoltre bene che le parti coinvolte nella transazione siano consapevoli che l’elevato quantitativo di dati in circolazione (i.e. dati degli impiegati, clienti, contraenti, fornitori, partner commerciali della target, ecc.) può essere soggetto a perdita di confidenzialità, soprattutto tenuto conto che, per portare a termine l’acquisizione, i dati dovranno essere condivisi con una pluralità di soggetti (avvocati, consulenti, banche, assicurazioni). Sarà, pertanto, importante che vengano adottate opportune cautele.
In particolare, è opportuno che le parti inseriscano nell’ambito del non disclosure agreement o accordo di riservatezza che solitamente viene sottoscritto prima della successiva fase di due diligence, una clausola ad hoc attraverso la quale, in aggiunta al riserbo sul contenuto e sull’esistenza delle trattative o su qualunque informazione riservata scambiata, il buyer sia nominato responsabile del trattamento e si impegni a tutti gli obblighi già previsti dal GDPR e, in particolare, a non divulgare i dati per scopi estranei allo svolgimento e conclusione delle trattative e a distruggerli in caso di mancata conclusione del deal. Tale impegno dovrebbe estendersi anche con riguardo alle attività dei consulenti coinvolti nell’attività di due diligence (avvocati, fiscalisti etc).
- Anche alla luce di tutte le considerazioni fatte sinora, in una operazione di due diligence è assolutamente necessario monitorare in modo dettagliato quali informazioni vengono condivise e con chi e a questo riguardo assume una importanza fondamentale lo strumento utilizzato allo scopo, che deve poter garantire una sicurezza senza falle.
La data room non richiede l’installazione di alcun software. Non è dunque legata ad una specifica postazione di lavoro e offre, al contrario, sia il vantaggio della mobilità – è possibile monitorare l’attività di scambio di documenti della due diligence anche in movimento su smartphone o tablet, con lo stesso livello di sicurezza -che e del controllo degli accessi, rigorosamente ad personam.
Di contro, sistemi di cloud storage hanno spesso dimostrato i loro limiti e sono stati oggetto di attacchi hacker.
Adempimenti dell’acquirente post acquisizione e possibili temi di attenzione
Anche a questo riguardo vi sono diversi temi da considerare. Nel dettaglio:
- Innanzitutto si segnala un provvedimento del Garante abbastanza datato – ante GDPR – ma attuale nei contenuti mutatis mutandis: si tratta delle “Prescrizioni in materia di operazioni di fusione e scissione fra società” – 8 aprile 2009: doc. web n. 1609999: il Garante prescrive quale misura opportuna alle società coinvolte in operazioni di scissione e fusione di fornire agli interessati i necessari aggiornamenti rispetto all´informativa resa dalla società scissa e dalle società partecipanti alla fusione e, tra essi, in particolare, la nuova denominazione del titolare del trattamento e gli estremi identificativi dell´eventuale nuovo responsabile presso il quale esercitare il diritto di accesso ai dati personali, secondo le seguenti modalità:
a. attraverso il sito web delle società interessate dalle operazioni di scissione e fusione, in corrispondenza del loro verificarsi;
b. con comunicazione individualizzata agli interessati in occasione della prima circostanza utile di contatto, anche per altre finalità.
- Ad acquisizione avvenuta occorrerà, inoltre, procedere a una attività di gap analysis del sistema di gestione privacy della target allo scopo di identificare con immediatezza situazioni inadeguate e gap organizzativi, individuare delle aree di rischio e poter pianificare un piano di intervento. Da tenere sotto la massima attenzione:
- Il registro dei trattamenti, documento fondamentale per la conformità alla normativa GDPR, vero punto di partenza dell’analisi e della revisione dei processi di trattamento posti in essere da titolari e responsabili, che non a caso è anche il primo documento che viene sicuramente richiesto in caso di attività ispettiva da parte del Garante tramite nucleo speciale privacy della Guardia di Finanza.
Preliminare alla valutazione dei rischi, alla loro analisi, alla scelta delle misure di sicurezza, alle loro revisioni, il registro è un documento indispensabile che viene redatto, con precisione ed attenzione, come documento di analisi iniziale dei processi interni. Sempre obbligatorio per le PA e per le aziende con oltre 250 dipendenti, il registro è sempre consigliato anche per chiunque effettui trattamento di dati personali di persone fisiche per scopi non privati. Il registro dei trattamenti sarà, dunque, molto utile per compiere una ricognizione preliminare delle attività di trattamento svolte dalla target; in mancanza occorrerà provvedere alla sua redazione, aiutandosi magari, per una prima mappatura, con documenti eventualmente già presenti in azienda come il Documento Programmatico per la Sicurezza (“DPS”), obbligatorio fino al 2012.
- Quei trattamenti, eventualmente condotti dalla target, che potrebbero richiedere un Data Protection Impact Assessment (“DPIA”) a norma dell’art. 35 GDPR.
Prima del GDPR non c’era un’assunzione di responsabilità in prima persona del titolare del trattamento circa la possibilità di intraprendere trattamenti di dati personali potenzialmente rischiosi, dal momento che la relativa valutazione era rimessa al Garante privacy. Con il GDPR, invece, il titolare del trattamento deve compiere in proprio una serie di riflessioni e approfondimenti che dovranno fondare la sua decisione finale circa la fattibilità o meno di determinati trattamenti di dati; e dal momento che di tali scelte il titolare, cioè l’azienda target, dovrà rispondere, ad acquisizione avvenuta sarà consigliabile effettuare un’ulteriore deliberazione per assicurarsi che il processo valutativo sia stato compiuto in modo corretto o se, invece, non siano opportuni o addirittura necessari dei correttivi.