I temi del Gdpr e della privacy stanno tenendo sempre più banco anche nell’ambito della finanza (al fianco di quelli della cyber security), in particolare per le procedure di due diligence (in italiano: dovuta diligenza), prodromiche alla realizzazione di un’operazione societaria straordinaria di fusione e acquisizione (o di M&A, Merger&Acquisition, per usare un gergo tecnico).
Indice degli argomenti
La due diligence
Come noto, le attività di due diligence sono volte ad accertare le possibili condizioni e modalità di esecuzione di una transazione societaria, oltre che a gettare le basi della negoziazione (della struttura dell’operazione e del corrispettivo) e consentire una valutazione dei profili di rischio connessi (strategico, commerciale, finanziario/creditizio, ambientale, legale – giuslavoristico, contabile e fiscale ecc.). L’esito di un rapporto di due diligence ha lo scopo di sostenere la redazione di adeguate clausole contrattuali condizionali (“conditions precedent”, sospensive/ risolutive), al verificarsi o meno delle quali avverrà (o no) la chiusura definitiva dell’operazione, oltre che la scritturazione di dichiarazioni e garanzie (in inglese, le “representations & warranties”), volte a garantire all’acquirente la legittimità e l’esatto adempimento delle obbligazioni contrattualmente pattuite, l’assenza di elementi che potrebbero comprometterne l’efficacia e diritti risarcitori, nell’ipotesi di inadempimento agli obblighi di garanzia rilasciati.
I temi della privacy compliance raramente erano trattati nell’ambito di una specifica due diligence e nessuna delle parti (e dei rispettivi consulenti) li riteneva prioritari nell’oggetto delle negoziazioni, riducendosi nella maggior parte dei casi, dunque, ad una generica clausola di conformità agli obblighi di cui al D.lgs. n. 196/2003 nell’ambito delle representations & warranties; e ciò, nonostante il fatto che questa disciplina già prevedesse la possibile applicazione di ampie sanzioni di natura amministrativa e, nei casi più gravi, penalmente rilevanti.
GDPR e finanza: come sono cambiate le operazioni di M&A
Lo scenario low profile brevemente riassunto è drasticamente cambiato (o meglio, emerso) all’inizio del 2017, quando l’operazione di acquisizione da parte di Verizon Communications su Yahoo è salita alla ribalta per la sostanziale revisione del prezzo, ridotto dall’importo iniziale 4,83 miliardi di dollari per 350 milioni di dollari, proprio per tenere conto delle massive violazioni (e conseguenti sanzioni e costi) che hanno interessato milioni di account Yahoo, provocati da attacchi hacker occorsi oltre un anno prima la cessione.
La crescita esponenziale dei rischi potenziali – legali, finanziari, reputazionali e operativi – derivanti dal grado di compliance alle normative privacy (non solo GDPR, ma anche di tutti gli altri paesi extra europei), ai sistemi di cyber security ed alle comunicazioni di data breach agli interessati ed alle autorità coinvolte, non può essere sottovalutata né degli imprenditori, né dai rispettivi consulenti nella conduzione di un’operazione di M&A. Notizie di violazioni/perdite massicce di dati personali si susseguono tutti giorni, ultima in ordine di tempo il data breach subito dalla catena alberghiera Marriott International, per aver “compromesso” oltre 500 milioni di nominativi di clienti. Qualcuno ha già fatto i calcoli, prevedendo che il costo complessivo della vicenda (nonostante le coperture assicurative) possa essere di centinaia di milioni di dollari, oltre alle sanzioni delle autorità e ai possibili esborsi risarcitori per effetto di class-action già minacciate e pendenti.
L’importanza di valutare correttamente i rischi privacy
Ammesso che nel corso di una due diligence pre-acquisizione di un target si vadano ad esaminare anche i temi relativi alla tutela dei dati personali, gli stessi consulenti dovrebbero sapere bene cosa cercare e cosa verificare: non bastano più generiche domande e check list sulla compliance normativa in tema di privacy, ma le analisi dovrebbero estendersi a tutti i risvolti cyber, legali e tecnologici, avendo piena consapevolezza (e approfondita conoscenza delle possibili minacce) e delle conseguenze di un data breach. La mancata denuncia di un data breach può costare davvero molto molto caro, al di là delle sanzioni applicate, e comportare una perdita di valore dell’azienda, piuttosto che l’avvio di un percorso di crisi (anche fallimentare).
È da dire che si assiste ad una crescente consapevolezza degli effetti degli attacchi informatici: si parla sempre più spesso di informazioni compromesse da attacchi di ransomware, di phishing, del furto di dati o della pubblicazione dolosa di informazioni sensitive. Facile comprendere che la perdita di dati può comportare una significativa riduzione del valore di una società target e compromettere le negoziazioni su una trattativa di vendita.
Prevenire è meglio che curare: la mitigazione dei rischi
Cosa cercare allora per conto del cliente in una procedura di acquisizione? Come valutare l’impatto economico dei rischi cyber e di data breach sulla fattibilità ed economicità di un transazione?
Tre parole: privacy by design. La tutela degli asset e dei valori aziendali non si ottiene contrastando gli attacchi di cyber security all’ultimo minuto (in pratica, chiudendo il cancello quando i buoi sono già scappati), ma adottando sistemi e processi di controllo di risk management interni, oltreché costruendo appropriate procedure di data breach. Va cercato e valutato l’intero impianto “difensivo” – normativo e tecnologico – valutandone il grado di adeguatezza rispetto ai dati trattati e alla sensibilità ambientale in cui la società opera.
Evidentemente, il risultato di questo assessment va riflesso nelle clausole del contratto di acquisizione, con la definizione di appropriate dichiarazioni, disclosure e garanzie (contrattuali e finanziarie).
Buy-side / Sell-side: la prospettiva può cambiare
Le società che hanno diligentemente e proattivamente implementato un modello organizzativo privacy in linea con le prescrizioni del GDPR dovrebbero farsi valere (e riconoscere) sul mercato. Un’azienda che abbia davvero implementato un sistema di privacy by design, ridisegnato i propri processi organizzativi e effettivamente adottato un modello organizzativo privacy (anche per il futuro) deve far emergere questo valore aggiunto e tendere alla definizione di un più alto enterprise value.
Per converso, quei target, che hanno ritenuto di non volersi adeguare al GDPR, considerandolo un mero onere e non un’opportunità, anche di business, potrebbero rappresentare delle vere e proprie bombe ad orologeria per i possibili acquirenti.
Sul sell-side, le società che intendono offrirsi sul mercato devono prepararsi in anticipo, rivedendo e sistemando tutta la compliance ed i sistemi di sicurezza, preparandosi ad inevitabili disclosure su eventi a rischio occorsi nel passato, ma fonti potenziali di richieste di indennizzo e manleva post-acquisizione. Meglio affrontare la discussione in sede di negoziazione contrattuale, piuttosto che subire e gestire a posteriori complessi procedimenti (anche giudiziari o arbitrali) per risarcimento danni.
Un check-up preventivo (sullo stato di salute dell’azienda) non è mai una cattiva idea.
Sul buy-side, come già espresso, le investigazioni di due diligence non devono limitarsi ai meri aspetti di compliance legale, ma estendersi anche alla sicurezza tecnologica; il team dei professionisti dovrebbe quindi includere anche specialisti IT e adottare sistemi e piattaforme certificate di gestione dei dati (quantomeno in linea con la certificazione ISO 27001).
Diventa, dunque, imperativo per un acquirente:
- identificare i rischi privacy e cyber tenendo conto del settore industriale, l’area geografica, la natura dei beni e servizi prodotti;
- conoscere l’architettura ed il flusso dei dati personali all’interno ed all’esterno della società target; il luogo e le modalità di conservazione degli stessi;
- conoscere le finalità del trattamento dei dati e le categorie dei dati personali utilizzati;
- verificare le basi giuridiche dei trattamenti, con particolare riferimento alla gestione dei consensi ed alla loro conservazione;
- rivedere le clausole di gestione della privacy nell’ambito dei rapporti contrattuali con clienti, fornitori e tutti i player con cui si relazione la target;
- verificare e valutare l’adeguatezza delle procedure e degli standard di sicurezza, le misure di sicurezza, i piani di risposta agli incidenti, l’adozione di valutazioni d’impatto (DPIA), di policy e regolamenti interni;
- accertare l’esistenza di un modello organizzativo privacy;
- stimare l’impatto (anche finanziario) di possibili responsabilità residuali successive all’acquisizione e l’eventuale risarcimento di danni (non patrimoniali) nel caso di trattamenti illeciti dei dati (danni per mera violazione delle previsioni normative? Danni derivanti da un concreto pregiudizio di diritti individuali e giuridicamente tutelati?).
