Due diligence e privacy: un binomio ormai imprescindibile. Perché e come verificare la compliance dell’azienda

Se un tempo la compliance alla normativa sulla protezione dei dati personali era profilo scarsamente considerato nell’ambito della due diligence per l’acquisto (o vendita) di una azienda, oggi tale valutazione sta acquistando sempre più peso.

In fase di M&A non si può più prescindere da una attenta e sostanziale verifica dell’esistenza (o meno) di un solido sistema privacy.

Se, infatti, acquisto una società priva di un solido sistema privacy senza dubbio:

• dovrò impiegare tempo e denaro per metterla a norma;
• sarò esposto a rischi di violazioni di dati personali, reclami da parte degli interessati, e conseguenti sanzioni;
• rischio di acquistare una società i cui dati sono “inutilizzabili” (o comunque solo parzialmente utilizzabili) con un reale deprezzamento delle potenzialità dell’uso di tali dati.

Viceversa, se sto vendendo una società e posso dimostrare attraverso una due diligence di avere un solido sistema privacy potrò:

• valorizzare economicamente i dati come asset aziendale, alzando il prezzo della mia azienda;
• evitare condizioni sospensive al perfezionamento dell’acquisito (es. miglioramento del sistema privacy);
• evitare manleve e risarcimenti (nel caso in cui emergano problematiche sulla compliance dell’organizzazione - una buona due diligence considera anche l’impatto economico che l’acquisizione potrebbe comportare in termini di risarcimenti dei danni conseguenti a trattamenti illeciti);
• avere maggiore visibilità sul mercato (le notizie corrono in fretta!).

Sono in tanti ad aver pagato le conseguenze di un atteggiamento superficiale in materia di due diligence dei dati.

Il caso più noto è stato quello della catena Marriott. Molto in sintesi: nel 2016 la catena Marriot acquista la catena Starwood Hotels, valutandone anche (in maniera un po’ approssimativa) l’assetto informatico;  nel 2018 avviene una importante violazione di dati  che porta l’Autorità Garante inglese a notificare a Marriott l’intenzione di irrogarle una sanzione da quasi 100 milioni di sterline (!), proprio in ragione del fatto che la due diligence effettuata dal colosso alberghiero è stata troppo superficiale.

Altro caso è quello della Verizon Communications Inc che in fase di acquisto di Yahoo (anno 2017) ha chiesto uno sconto di 1 miliardo di dollari sul prezzo di acquisto, quando è emerso in fase di due diligence che il sistema privacy di Yahoo aveva subito numerosi data breach.

Chi ha implementato un modello organizzativo effettivamente capace di rispettare i principi sanciti dal GDPR oggi ha un valore e una competitività superiori rispetto agli altri, e questo è solo l’inizio.

In un’economia in cui i dati stanno acquistando un’importanza in crescita esponenziale e in un contesto ove gli utenti hanno una maggiore consapevolezza e, dunque, maggiori pretese, chi non comprende il valore dei propri dati, della loro sicurezza e, soprattutto, delle loro potenzialità presto o tardi non potrà più considerarsi competitivo sul mercato.

Come si verifica la solidità di un sistema privacy in fase di due diligence?

Una solida compliance deve essere verificata da un punto di vista sostanziale, non formale.

Per affrontare una due diligence è necessario adottare l’approccio della privacy by design.

Prima ancora di domandarsi “che cosa richiedere” all’organizzazione che si intende acquistare (con le solite “liste della spesa”), dunque, è necessario domandarsi: “esattamente che cosa sto acquistando?” e ancora “qual è il flusso dei dati che entra e esce dall’organizzazione?”.

Sarà sulla base della natura dell’azienda che intendo acquistare e sul reale flusso di dati che caratterizza le sue specifiche attività che potrò finalmente stilare la comoda Check-list della due diligence.

La stessa, tra le altre cose, certamente dovrà comprendere:

• le finalità del trattamento dei dati personali e le conseguenti basi giuridiche;
• le policy aziendali e le procedure che sono state predisposte e adottate (in particolare le procedure di Data Breach e dei Diritti degli Interessati), le quali danno prova di un reale organizzazione di un sistema privacy;
• il registro delle violazioni (fondamentale al fine di comprendere quali sono state le violazioni dei dati subite dall’organizzazione e come la stessa le abbia gestite);
• la mappatura dei soggetti esterni (responsabili, contitolari, destinatari) e la relativa documentazione;
• le misure di sicurezza che sono state implementate sulla base dei rischi effettivi dell’azienda;
• le valutazioni di impatto necessarie per i trattamenti specifici che svolge l’azienda;
• l’organigramma interno, con relativa distribuzione delle responsabilità tra il personale e le attività di formazione che sono state messe in atto al fine della necessaria sensibilizzazione;
• il registro dei trattamenti.