L’impatto che “la nuova privacy” avrà nel settore dei nuovi investimenti sarà dirompente: si pensi soprattutto alle operazioni cosiddetta di mergers & acquisitions e più in particolare all’ipotesi in cui una società intenda acquisire il controllo o una partecipazione di un’altra società o una sua azienda (cosiddetta “target”).
GDPR, l’Italia si muove in ordine sparso: ecco i rischi dell’incertezza
Compliance al GDPR e valore di un’impresa
E’ bene ricordare come tra i cambiamenti più significativi introdotti dal GDPR vi sia stato un aumento del quantum delle sanzioni amministrative: conseguentemente, le imprese che non si porranno nell’ambito del binario di un’effettiva compliance alle nuove regole, si esporranno al rischio di irrogazione di sanzioni particolarmente afflittive, che potranno incidere:
- sul prezzo finale di acquisto (riduzione o aggiustamento del corrispettivo nel caso di possibili o effettive contestazioni di non compliance da parte di autorità o terzi),
- sulle condizioni sospensive al perfezionamento dell’acquisizione (ad esempio, obblighi rimediali del venditore prima di cedere la partecipazione o l’azienda all’acquirente),
- sulle manleve e risarcimenti (obblighi d’indennizzo del venditore per violazione delle dichiarazioni e garanzie sul rispetto della normativa sui dati personali e patti di manleva per situazioni problematiche emerse nel corso della due diligence).
Il valore della data protection in ambito M&A
In ambito M&A, dunque, occorre interrogarsi innanzitutto sul valore che la data protection assumerà per valutare la società target e gli obblighi d’indennizzo e manleva (indemnity) a carico dei venditori. Infatti, alla luce di quanto sopra, gli acquirenti dovranno vedersi garantito un effettivo livello di compliance della target alla normativa privacy, contrariamente a quanto accadeva in passato, in cui spesso, la data protecion non era nemmeno ricompresa nello scope della due diligence e, nei contratti d’acquisizione, v’erano poche o addirittura nessuna dichiarazione e garanzia del venditore sul rispetto della normativa privacy.
Cosa cambierà
Per quanto riguarda la due diligence, come noto, quest’ultima è finalizzata ad ottenere una “fotografia” della target che si intende acquisire (sia essa una società o un’azienda), per quanto concerne, inter alia, gli aspetti regolamentari, legali, fiscali e finanziari, contrattuali e di compliance, al fine di consentire al buyer di avere una visione globale della target e del suo business, dei vari assets e delle liabilities. Più nel dettaglio, dopo aver esaminato le suddette informazioni, il buyer otterrà un quadro conoscitivo che gli consentirà di prendere una decisione “informata” in merito all’effettiva convenienza strategica dell’operazione: sostanzialmente, dovrà decidere se portare a termine il deal, quanto valutare la target, il prezzo di acquisizione e le protezioni contrattuali (condizioni sospensive, manleve, etc.) da ottenere dal venditore. Insomma, lo scopo della due diligence è di ridurre l’asimmetria informativa tra chi vende e chi compra, tenendo conto che, da un lato, chi vende conosce il proprio business, e sarà ovviamente intenzionato a mettere in risalto i propri punti di forza; dall’altro lato, chi si appresta ad assumere il controllo di una nuova realtà deve essere sicuro di avere fatto una scelta corretta. (Fabrizio Bencini, “Operazioni di M&A e business due diligence in un contesto di incertezza”). Alla luce di quanto sopra, normalmente accade che le parti si accordino affinché il venditore metta a disposizione una serie di documenti, tutti preventivamente concordati ed elencati in una check list (variabile a seconda del settore commerciale in cui si opera), dai quali emergeranno, inter alia, informazioni:
- sulla struttura di governance della target;
- sulla sussistenza di eventuali contenziosi;
- sui rapporti contrattuali;
- sugli gli aspetti finanziari e contabili;
- sulla compliance della target alle varie legislazioni di settore (i.e. privacy, antitrust, 231/01,ecc.).
Ebbene, secondo il parere di chi scrive, sarà necessario attribuire una sempre maggiore rilevanza alla privacy ed ai rischi cyber, anche tenendo in considerazione il sempre più dirompente avvento dei cosiddetti big data e dell’intelligenza artificiale, la cui valenza è duplice: da una parte possono essere utilizzati come efficaci strumenti di due diligence, dall’altra costituiscono ambiti in cui l’analisi di ciò che ha fatto la target (e come lo ha fatto) sarà indispensabile per comprendere rischi e potenzialità della medesima.
Infatti, capire come la target raccoglie, conserva, usa, distrugge e trasferisce i dati, così come lo storico di eventuali violazioni, sarà cruciale nel processo di valutazione dei rischi associati ad una transazione.
Non solo.
Sarà altresì importante analizzare, oltre al set delle informative, nomine, registri dei trattamenti, clausole contrattuali, procedure varie in tema di rischi, le varie politiche, programmi e sistemi informatici sotto il profilo della sicurezza, (i.e. procedura per il c.d. disaster recovery and business continuity, capire se la target conduce dei test sulla vulnerabilità dei sistemi).
Cosa si prospetterà ai venditori
Dunque, ciò che si prospetterà ai sellers sarà una necessaria integrazione tra aspetti più propriamente legali e aspetti tecnologici, tenendo sempre a mente che i cyber attacchi comportano un’indebita disclosure non solo di dati di persone fisiche ma altresì di dati attinenti al know how e al business della singola azienda.
Un’attenzione particolare dovrà inoltre essere riservata all’ipotesi in cui la target sia la holding di un gruppo: infatti, ove mai le società da quest’ultima controllate non abbiano autonomia nel definire le modalità di trattamento essendo tale decisione rimessa centralmente alla capogruppo attraverso l’emanazione di specifiche direttive, vi potrebbe essere all’interno del gruppo un unico Titolare identificabile nella holding. Conseguentemente, un’eventuale violazione da parte di una delle controllate, in virtù del precipitato di cui all’art. 2497 c.c., potrebbe comportare una risalita di responsabilità in alto fino alla controllante, ove mai fosse riscontrata da parte di quest’ultima una violazione dei principi di corretta direzione e coordinamento con il rischio aggiuntivo di un’esposizione alle rivendicazioni dei soci di minoranza o dei creditori della controllata.
Due diligence e rischio di data breach
Nella fase di due diligence, è inoltre bene che le parti coinvolte nella transazione e, in particolare, i venditori, siano consapevoli che eventuali rischi di data breach possono sussistere, tenendo conto dell’elevato quantitativo di dati (i.e. dati degli impiegati, clienti, contraenti, fornitori, partner commerciali della target, ecc.) che sono oggetto di discloure all’acquirente e suscettibili di essere condivisi con avvocati, consulenti, banche, assicurazioni per portare a termine l’acquisizione: conseguentemente, opportune cautelare dovranno essere adottate.
In particolare, è opportuno che le parti inseriscano nell’ambito del non disclosure agreement o accordo di riservatezza che solitamente viene sottoscritto prima della successiva fase di due diligence, una clausola ad hoc attraverso la quale, in aggiunta al riserbo sul contenuto e sull’esistenza delle trattative o su qualunque informazione riservata scambiata, il buyer sia nominato responsabile del trattamento e si impegni a tutti gli obblighi già previsti dal GDPR e, in particolare, a non divulgare i dati per scopi estranei allo svolgimento e conclusione delle trattative ed a distruggerli in caso di mancata conclusione del deal.
L’importanza di quanto finora esposto la si comprende laddove si consideri che, come correttamente ritenuto[1], in linea di principio e salva l’esistenza di clausole ad hoc nel contratto M&A, come di seguito meglio specificato, il cessionario non potrà imputare la mancata richiesta di documenti e informazioni lato privacy ad una violazione del dovere di buona fede del venditore (visto che quest’ultimo non è tenuto a comunicare circostanze sulle quali l’acquirente non ha dimostrato interesse non includendo le richieste di informazioni nella checklist[6]).
Dichiarazioni e garanzie sulla privacy compliance
Dopo aver indagato in sede di due diligence i temi privacy della target, i negoziati riguarderanno anzitutto le condizioni economiche dell’operazione e l’impatto che i diversi schemi contrattuali possibili e le clausole via via ipotizzate possono avere sulle ‘economie’ dell’operazione. In questo contesto, secondo il parere di chi scrive, la privacy compliance della target dovrebbe costituire oggetto di specifiche dichiarazioni e garanzie (le cd. representations and warranties) del venditore all’acquirente dando vita alle seguenti tutele:
- Condizioni sospensive e attività rimediali del venditore prima del closing;
- aggiustamenti del prezzo nel caso di passività privacy emerse dalla data presa in esame per valutare la target sino alla data del closing;
- indennizzi e manleve del venditore a favore dell’acquirente;
- risoluzione del contratto d’acquisto ex art. 1453 o 1456 c.c. (ad eccezione del caso in cui tale diritto sia stato rinunciato tramite la c.d. clausola di exclusive remedy o sole remedy in cui i contraenti convengono che l’unico rimedio per violazioni contrattuali è il risarcimento del danno per equivalente).
Occorre inoltre rilevare come, mentre, soprattutto in passato, i sellers erano soliti garantirsi con generiche R&W per quanto riguarda i temi di compliance, allo stato attuale, tale clausole potrebbero essere non più sufficienti a coprire tutti i rischi di non conformità: sarà dunque opportuno che le stesse siano correlate allo specifico rispetto da parte della target non solo di tutta la legislazione privacy, ma altresì delle misure di sicurezza dei dati (non necessariamente imposte dalla legge).
Infine, per quanto concerne la tutela dei singoli interessati i cui dati costituiscono oggetto di disclosure, fermo restando che l’acquisizione del relativo consenso da parte della target può essere omesso, ben potendo il trattamento dei dati a fini di due diligence rientrare nell’ambito del legittimo interesse del venditore (salvo ovviamente il caso in cui vi sia un trasferimento di dati extra UE), occorrerà che entrambe le parti forniscano un’idonea informativa.
Il nuovo ruolo della compliance all’interno delle aziende
L’entrata a regime del GDPR con tutti gli obblighi e responsabilità che le nuove prescrizioni impongono in capo al Titolare, non potrà che comportare un’ulteriore rivalutazione della funzione di compliance all’interno delle imprese, da intendersi come struttura a sostegno dei vertici aziendali (e non solo), per la corretta gestione dei rischi tipici della compliance ovvero per coprire “[7]il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione.
Aziende e complessità normativa
Negli ultimi anni, infatti, si è assistito ad una proliferazione di leggi e regolamenti a livello nazionale e internazionale, tali da determinare un aumento notevole della complessità del quadro normativo in cui le aziende operano.
Si pensi, solo per fare alcuni esempi, al già richiamato Decreto 231, alla legge 262/05 (c.d. legge sul risparmio) che ha integrato il D.lgs. 58/98 (il c.d. Testo Unico sulla finanza), al D.lgs.152/06 (T.U. ambiente), al D.lgs. n. 231/07 così come di recente modificato, al D.lgs. 81/08 in tema di salute e sicurezza, ecc.
Le normative sopra indicate hanno posto l’accento su una necessaria “procedimentalizzazione” dell’impresa, ossia nella direzione di imporre all’imprenditore, l’adozione di politiche procedure e processi che devono applicarsi sia per l’assunzione, sia per l’effettuazione delle attività e il loro controllo.
Ed anche il GDPR si muove nella stessa direzione dal momento che, di fondo, ciò che viene chiesto al Titolare è l’implementazione di un modello organizzativo privacy.
Le imprese, conseguentemente, da un approccio iniziale di tipo destrutturato e sulla difensiva (in cui, in sostanza, si approcciavano ai vari temi di compliance solo a seguito di indagini da parte delle Autorità, anomalie e/o non conformità riscontrate), si sono dovute adeguare cominciando ad affrontare la compliance in maniera integrata e strutturata ma sempre nell’ottica di un adeguamento forzato e imposto, senza comprendere fino in fondo il valore aggiunto dell’avere un forte presidio di controllo interno su tematiche che, soprattutto per gli investitori stranieri, rappresentano un valore aggiunto.
Cultura e la valorizzazione della compliance
E’ verosimile pensare che alle imprese sarà ora richiesto un salto ulteriore e cioè di considerare quale fonte di investimento, seppur non a breve termine, la cultura e la valorizzazione della compliance.
Del resto, è evidente, come ciascuno dei vari ambiti sopra indicati presenti elementi di interconnessione con gli altri, tale per cui, ai fini di una corretta gestione imprenditoriale del business, occorre avere una visione a 360° dei vari rischi e non più limitata a specifici settori presi singolarmente.
Giusto per esemplificare, basti pensare che la violazione della privacy, seppur non rientri tra gli illeciti ex Decreto 231, di fondo, attraverso il reato di accesso abusivo ad un sistema informatico, e non solo, ben può “rientrare dalla finestra” potendo comportare una responsabilità penale diretta in capo al Titolare; conseguentemente, sarà opportuno che ci sia un coordinamento tra il Modello organizzativo privacy ed il Modello 231. Al tempo stesso, come già anticipato, l’adeguamento al GDPR investe anche sia delicate tematiche di corporate governance la cui la cui concreta attuazione è in capo ai vertici, sia profili giuslavoristici per quanto concerne il tema del trattamento dei dati dipendenti, e così via.
Compliance consultiva e di controllo
In sostanza, poiché alla luce di quanto sopra esposto è impensabile che i vertici di un’impresa possano da soli riuscire, prima dell’assunzione di scelte strategiche, a prendere in considerazione ed a “schermare” tutti i rischi di non conformità ivi sottesi, un ruolo sempre di maggior rilievo non potrà che essere dato alla funzione di compliance, nella sua doppia veste consultiva e di controllo.
Del resto, secondo la cosiddetta business judgement rule, un amministratore non è responsabile per il semplice fatto che la sua gestione non ha prodotto utili o ha prodotto perdite, ma è certamente responsabile se le decisioni da lui assunte non sono state adottate dopo un razionale, attento e ponderato esame, avendo tenuto in considerazione tutti i rischi.
Conformità dei processi e dei comportamenti alle norme
Diventa dunque evidente, come al fine di porre i vertici di un’impresa nella condizione di prendere scelte consapevoli ed anche ai fini del rispetto del tanto decantato principio di corretta amministrazione, sia necessario assicurare la conformità dei processi e dei comportamenti ai requisiti normativi, attraverso indirizzi e standard procedurali condivisi e, ove possibile, univocamente applicati nell’ambito del gruppo di appartenenza.
L’approccio strutturato e coordinato potrà dunque ottenersi in due modi:
- attraverso un’unica struttura di compliance all’interno dell’azienda che, a diretto riporto dei vertici fornisca, un supporto consulenziale e di controllo, a sostegno non solo del management ai fini dell’assunzione di decisioni strategiche, ma altresì di tutte le altre strutture/funzioni aziendali che dovranno così garantire adeguati presidi informativi/flussi informativi nella gestione delle attività day by day al fine di una gestione integrata dei vari rischi;
- oppure, se per esigenze aziendali le varie tematiche afferenti la compliance sono divise tra le varie strutture, e dunque gestite non in maniera accentrata ma decentrata, occorrerà che tra le stesse vi sia un approccio proattivo e di coordinamento, attraverso adeguati flussi informativi procedure al fine di presidiare in maniera univoca e coerente i vari rischi.
Ovviamente, in aggiunta a quanto già sopra esposto, sarà altresì necessaria la diffusione a tutti i livelli dell’organizzazione, di una cultura orientata alla legalità ed al rispetto delle norme, nonché dei principi di comportamento etici e di controllo adottati dalla società.
*Il presente contributo è frutto di approfondimenti e di opinioni personali dell’autrice che non impegnano in alcun modo la Società di appartenenza.
________________________________________________
[1] In tal senso, per tutti, Andrea Fedi, M&A e Decreto 231, Le società, 2011