Le operazioni straordinarie richiedono una valutazione puntuale dei dati personali, dei consensi, delle informative, dei criteri di selezione dei clienti e della sicurezza dei sistemi acquisiti. I casi Isybank e Marriott mostrano perché la compliance privacy incide su rischi, sanzioni e valore dell’operazione.
Compliance Privacy: Un Aspetto Strategico Nelle M&A
La recente sanzione del Garante Privacy a Intesa Sanpaolo per la selezione dei clienti destinati a Isybank, ritenuta una profilazione illecita, ci pone di fronte a un dato di fatto: durante le operazioni di M&A, è sempre più necessario concentrarsi sul corretto passaggio dei dati tra le società coinvolte.
È vero che le operazioni straordinarie devono procedere con tempi compatibili con le esigenze del business; tuttavia, considerare la compliance privacy come un mero fattore di rallentamento può rivelarsi un errore anche sotto il profilo economico, considerando possibili sanzioni o, peggio, l'inutilizzabilità dei dati acquisiti.
Il Cambiamento Delle Valute Aziendali Negli Anni
Pensando all’evoluzione economica negli ultimi decenni, è evidente che se negli anni 80 i principali asset di un’azienda erano fisici, oggi sono immateriali e spesso proprio i dati personali. A tal proposito, la Commissione europea, nel “European Data Market Study 2024-2026”, afferma che il valore della data economy è stimato in 579,155 miliardi di euro nel 2024, e salirà a 630,843 miliardi di euro nel 2025, corrispondenti rispettivamente al 4,4% e 4,7% del PIL dell’UE.
La Manchevolezza Nelle Due Diligence
Tuttavia, tale tema, ancora oggi, non entra adeguatamente nello scope d’azione quando si effettuano le due diligence aziendali. Probabilmente questo accade perché, nelle grandi società di consulenza, il settore privacy e il settore M&A spesso viaggiano a compartimenti stagni, come negli anni 90, e pertanto difficilmente viene fatto quell'ultimo passo per risolvere il problema alla fonte.
Casi Significativi: Intesa E Marriott
Emergono spesso situazioni come quelle di Intesa o il noto caso Marriott, dove a valle di un’acquisizione vengono emersi problemi di protezione dei dati che hanno portato a importanti sanzioni. Come si evita tutto questo?
Consigli Strategici Per Garantire La Privacy Nelle M&A
Non esiste, ad oggi, un framework definitivo ma possiamo certamente ricavare alcuni importanti consigli dai casi menzionati.
Errore numero uno: Sottovalutare la trasparenza verso i propri clienti.
Tanti pensano che l’acquisto o il passaggio di un ramo di azienda non comporti obblighi specifici verso l’utente, ma questo è falso. In passato il Garante si è trovato a giudicare una situazione di questo tipo. L’errore fu ritenere che il trattamento dei dati personali restasse invariato senza alcun obbligo da parte della società acquirente.
L’Autorità ha chiarito che anche quando le finalità restano invariate, gli obblighi di trasparenza sussistono. Gli interessati devono essere informati sull’appartenenza ai nuovi soggetti del trattamento e sulle modifiche apportate in seguito all’operazione. Queste informazioni devono includere la nuova denominazione del titolare del trattamento e le informazioni necessarie per contattare l’eventuale nuovo responsabile del trattamento, come previsto dal GDPR.
Errore numero due: Dare per valida la validità dei consensi.
- Si tende a dare per scontata la validità dei consensi assicurati dagli utenti.
- Oggi sappiamo che per essere efficaci i consensi devono rispettare requisiti ben precisi, tra cui spesso il “double opt in”.
- Dal momento che i consensi raccolti in maniera corretta non basta, è fondamentale valutare i tempi di conservazione delle informazioni raccolte.
- Un milione di lead raccolti in maniera impeccabile non ha valore se il periodo di conservazione non rispetta gli standard definiti dal Garante della Privacy.
Errore numero tre: Eccessiva libertà nella selezione dei dati.
Come visto nel caso di Intesa, un grosso problema deriva anche dal modo in cui si selezionano i dati e i clienti da coinvolgere. Lasciare al caso il perimetro del ramo d’azienda e procedere con scelte che implicano attività di profilazione non legittima, rappresenta un rischio serio.
Concetti Chiari Sulla Legittimità Della Selezione
Non è sempre facile individuare dove finisce la selezione legittima di dati e dove inizia la profilazione illegittima. Tuttavia, si può identificare chiaramente cosa non è legittimo.
- Non è legittimo selezionare i clienti in base a parametri personali di consumo.
- Non è legittimo creare una base clienti selezionata in base a caratteristiche soggettive.
- Il passaggio dei dati è consentito se i servizi interessati mantengono la loro interezza e caratteristiche tali da integrare un ramo di azienda.
- È illegittimo invece selezionare i clienti in base a caratteristiche personali specifiche.
Importanza Dei Database E Degli Strumenti
Infine, è importante prestare particolare attenzione, in fase di operazione straordinaria, non solo ai dati ma anche ai database e al software della società acquisita.
Un esempio significativo è l’acquisizione da parte della catena Marriott Hotels, dove problemi legati all’accesso dei dati e alla mancata sicurezza dei sistemi sono diventati una questione di primaria importanza. L’operazione, inizialmente considerata una mossa strategica e vantaggiosa, si è rivelata essere fonte di gravi problematiche legali e di immagine.