Tra le inevitabili problematiche connesse al trasferimento di dati personali tra tutti i player di un’operazione di M&A, vi è innegabilmente quella di identificarne la valida ragione giuridica (“lawful basis”) in conformità all’art. 6, GDPR. Difficile riferirsi semplicemente allo specifico consenso degli interessati coinvolti, al contrario sembra più adeguato fare riferimento al “legittimo interesse del titolare”.
L’argomento merita un approfondimento, perché, come noto, non basta affermare la prevalenza degli interessi del titolare sui diritti degli interessati, per essere conformi al GDPR, ma bisogna dimostrarla concretamente.
I ruoli privacy in un’operazione di M&A: come identificarli e garantire la compliance Gdpr
Nell’ambito di qualsiasi fase di un’operazione di M&A – dall’apertura della data room e la conduzione della due diligence, alla negoziazione e redazione dei documenti contrattuali, fino al post-closing – sia il venditore che il compratore devono innanzitutto verificare se il trattamento dei dati personali per un’altra ed ulteriore finalità (l’esecuzione delle attività connesse all’operazione societaria) sia compatibile con le finalità per cui i dati personali erano stati originariamente raccolti (Considerando 50, GDPR), con la conseguenza che – prima di iniziare un nuovo trattamento (utilizzo nell’ambito dell’operazione di M&A) – va identificata la base giuridica più adeguata.
Consenso o interesse legittimo?
Come già osservato in altra occasione, nel corso di un’operazione societaria non è obiettivamente fattibile ricorrere alla divulgazione di un’adeguata informativa agli interessati coinvolti (direttamente o indirettamente), sia in termini temporali (quando inviarla), che contenutistici (cosa comunicare), né tanto meno raccoglierne il consenso.
Caratteristica essenziale di un’operazione di M&A è la confidenzialità; la violazione della riservatezza potrebbe seriamente pregiudicarne un esito positivo; inoltre, come spesso avviene, se la clausola di informativa e richiesta di consenso è di fatto “annegata” nella mole di documenti contrattuali della società oggetto di acquisizione, ovvero nella documentazione predisposta ad hoc pre/post closing, di fatto qualunque consenso non sarebbe stato fornito in maniera sufficientemente chiara ed esplicita e, quindi, invalido.
È per questo motivo che si ricorre all’esenzione prevista nell’art. 14, par. 5, lett. b), GDPR, per cui non si è tenuti all’invio dell’informativa qualora “comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato”. Ciò anche in conformità all’interpretazione fornita nel 2018 dal WP29 (ora “EDPB”) che ha riconosciuto l’applicabilità di tale esenzione, purchè i titolari diano piena dimostrazione che l’invio dell’informativa renderebbe vani gli obiettivi del trattamento (e comprovando il valido ricorso ad altra base giuridica, cioè al legittimo interesse).
La target company (direttamente o tramite i soci venditori) può validamente trattare/trasferire i dati sulla base del legittimo interesse, proprio, di terzi o in combinazione di entrambi (venditore/acquirente/entrambi), purchè appunto non in conflitto con i diritti fondamentali e le libertà degli interessati. Infatti, una delle ragioni principali per cui le società pongono in essere operazioni di M&A è proprio quella di creare maggior valore finanziario ed organizzativo, sfruttando le sinergie di business individuate. Basti pensare, per esempio, all’integrazione di vendita di servizi e beni, all’ottimizzazione della forza lavoro, alla riduzione dei costi di gestione ed amministrativi, anche mediante centralizzazione di alcuni dipartimenti, primi fra tutti IT e infrastrutture, processi e compliance. Tutti obiettivi che si raggiungono solo mediante un’inevitabile scambio e condivisione di dati personali, frutto di aggregazione e fusione di data base, da esaminare attentamente ed il cui utilizzo nel corso della transazione societaria va giustificato alla luce del Considerando 50 GDPR.
L’equilibrio tra i benefici del titolare ed i diritti degli interessati
Tra le sei basi giuridiche indicate dall’art. 6 GDPR, vi è la condizione di liceità del legittimo interesse del titolare del trattamento o di terzi, utile quale base giuridica del trattamento, purchè non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.
La legittimità della scelta di questo criterio (che indubbiamente presenta maggiore elasticità rispetto al consenso o ad altri criteri, tanto da trovarne applicazione anche in situazioni complesse quale proprio l’ambito delle operazioni societarie) è fondata sull’esecuzione da parte del titolare di una cosiddetta “operazione di bilanciamento” degli opposti interessi in campo. Mentre in passato, sotto la vigenza del “vecchio” Codice della Privacy, questo giudizio veniva rimesso all’Autorità Garante per la protezione dei dati, in conformità ai caposaldi dell’accountability e della proporzionalità, il GDPR demanda agli stessi titolari il compimento di questa operazione, espressamente prevedendo che “è opportuno che incomba al titolare del trattamento dimostrare che i suoi interessi legittimi cogenti prevalgano sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato” (Considerando 69, GDPR).
In altri termini, i titolari devono trovare il modo di equilibrare, da una parte, il possibile danno che gli interessati possano subire per effetto del trattamento stesso e, dall’altra, il pregiudizio che loro stessi potrebbero soffrire (nei loro diritti e libertà fondamentali), qualora di fatto non potessero eseguire il trattamento considerato: basti pensare che nell’ambito di un’operazione di M&A al venditore potrebbe essere preclusa la possibilità di far accedere l’acquirente alla data room, senza aver prima ottenuto il consenso di tutti i potenziali interessati, i cui nominativi (e ogni altro dato personale, inteso nella più ampia accezione normativa del termine) sono inclusi nei documenti messi a disposizione, pregiudicando quindi ab origine l’esito positivo di trattative e negoziazioni.
Che cos’è la Legitimate Interest Assessment (“LIA”)?
Non si sente spesso parlare della cosiddetta “LIA.”, ovverosia della Legitimate Interest Assessment, sebbene sia proprio questo lo strumento per documentare (all’inizio del trattamento basato sul legittimo interesse, ma anche successivamente e periodicamente) il processo di valutazione condotto dal titolare sul valido ricorso al proprio legittimo interesse ai sensi dell’art. 6, par. 1, lett. f) GDPR.
In altre parole, la LIA è un test di bilanciamento, il cui esito impone ai titolari di essere estremamente cauti nell’utilizzo di tale condizione di liceità, facendo ricorso a considerazioni strettamente obiettive e comprovabili, abbandonando chimere di facili “soluzioni” volte ad aggirare la complessità dei meccanismi di raccolta e conservazione dei consensi degli interessati.
L’elaborazione della LIA è il frutto delle considerazioni ed indicazioni fornite dal già ricordato Article 29 WP, nell’Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, 9 aprile 2014, 844/14/EN WP 217 e dall’Information Commissioner’s Office nella Guidance on legitimate interests.
In via generale, la LIA è suddivisa in tre fasi principali (restando peraltro fermo che, in caso di trattamenti particolarmente complessi, potrebbero essere svolte dal titolare ulteriori sotto-fasi di analisi):
- Purpose Test: ha l’obiettivo di identificare l’interesse che il Titolare del trattamento intende perseguire. La domanda chiave è dunque: qual è in concreto (e non solo in linea teorica) l’obiettivo che il titolare intende raggiungere alla luce dei benefici che lui stesso o terzi possono trarre? L’interesse va, dunque, perseguito in modo conforme alle previsioni di legge in tema di tutela dei dati personali.
- Necessity Test: ha l’obiettivo di identificare la stretta necessità del perseguimento dell’interesse del titolare del trattamento, tenendo conto del possibile pregiudizio che ne deriverebbe, qualora non effettuasse il trattamento medesimo. Se gli obiettivi fossero altrimenti raggiungibili, con modalità e mezzi meno impattanti sugli interessati, il legittimo interesse non potrà essere invocato quale valida base giuridica per avviare il trattamento.
- Balancing Test: il titolare deve mettere a confronto i propri interessi con gli interessi, le libertà ed i diritti degli interessati, operando in modo equo ed obiettivo (fair), valutando espressamente:
- le ragionevoli aspettative dell’interessato in base alla relazione intrattenuta con il titolare;
- il probabile impatto del trattamento sugli individui e
- la possibilità per il titolare di implementare misure che possano mitigare l’impatto negativo sugli interessati.
Qual è l’interesse legittimo dei titolari in un’operazione di M&A?
Anche nell’ambito di un’operazione di M&A, prima di rendere disponibili i dati personali ad acquirente e relativi consulenti, va dunque condotta una specifica valutazione dell’applicabilità del legittimo interesse quale ragione valida per fondare i relativi trattamenti che il Titolare intende effettuare, oltrechè definire ruoli e responsabilità dei soggetti coinvolti nell’attività di valutazione. Insomma, va redatta la LIA.
La legittimità, infatti, sussiste solo se l’interesse del titolare nel compimento di determinati trattamenti sia strettamente conforme ed in linea con lo scopo dell’attività di impresa condotta e se il trattamento dei dati sia imprescindibilmente necessario a soddisfare il vantato interesse legittimo; arrivando al cuore della valutazione / assessement da compiere, il titolare deve eseguire un concreto bilanciamento fra il proprio interesse legittimo e i diritti e libertà fondamentali degli interessati, i quali devono avere la ragionevole aspettativa a che il trattamento venga condotto in ragione del rapporto intercorrente con il titolare. Solo all’esito di una valutazione che faccia emergere la chiara prevalenza degli interessi del titolare, allora quest’ultimo potrà esimersi dall’effettuare i trattamenti “ulteriori”, raccogliendo specifici consensi individuali e avvalendosi legittimamente della base giuridica del legittimo interesse (Considerando 47 GDPR).
Nell’ambito di un’operazione societaria, va da sè che il legittimo interesse del titolare consista nella possibilità di condurre il processo di due diligence e avviare la preparazione del deal di vendita. La valutazione da parte del venditore comporta, quindi, la necessità di mettere a confronto l’interesse del titolare con quelli degli interessati, al fine di dimostrare la prevalenza del primo sui secondi. Parimenti, tutti gli eventuali ulteriori titolari dei medesimi dati (ad iniziare dall’acquirente ed i suoi advisors) dovranno necessariamente condurre il medesimo processo per stabilire la legittimità della base giuridica utilizzata per il trattamento di dati personali (purchè sia sempre fondata sul legittimo interesse) e documentarne l’esito.
Oltre al test di bilanciamento è chiaro che il rischio di pregiudicare i diritti e le libertà degli interessati al momento della disclosure dei dati personali potrebbe essere minimizzato dal titolare, utilizzando misure protettive addizionali, quali l’anonimizzazione o la criptazione e ulteriormente dare fondamento al proprio legittimo interesse. Va da se che, anche sul buy-side, il compratore deve assicurarsi di accedere a tali dati in modo legittimo, con la conseguenza che, oltre all’adozione delle ordinarie ulteriori cautele (per es. in data room sono inseriti solo template contrattuali, invece di quelli sottoscritti in originale, laddove possibile, sono limitati e sorvegliati gli accessi ai soli soggetti a ciò specificamente identificati ed autorizzati, ecc.), dovrà accertarsi che non gli sia stato dato accesso a dati rientranti nella particolari categorie di cui agli artt. 9 e 10, GDPR, salvo che non sia stato ottenuto lo specifico ed esplicito consenso degli interessati coinvolti. In questo caso, infatti, la base giuridica del legittimo interesse non troverebbe applicazione.
Le domande da porsi
In buona sostanza, l’acquirente che intenda procedere con il percorso di acquisizione deve espressamente porsi le seguenti domande:
- esiste una connessione tra le finalità originarie per cui i dati erano stati raccolti e quelle connesse allo svolgimento dell’operazione di M&A?
- le ragionevoli aspettative degli interessati sul futuro utilizzo dei dati sono basate su un rapporto con l’acquirente?
- Qual è la natura dei dati personali?
- Quali sono le conseguenze sugli interessati derivanti dall’uso futuro dei dati?
- Sono state prese misure e precauzioni appropriate sia nel trattamento originario sia in quello successivo (per es., è stato valutato il compimento di una DPIA?).
Se l’esito della LIA conclude che il nuovo trattamento risulta non essere compatibile con le finalità esistenti, l’acquirente deve trovare un’altra valida base giuridica per poter legittimamente utilizzare i dati personali rilasciati dalla target o dal venditore.
