È ormai diventato comune – per tutte le operazioni di fusione e acquisizione (M&A) – tenere in considerazione la componente cyber e quella privacy, a prescindere dal settore di riferimento, dal mercato o dalla grandezza dell’accordo: la target company potrebbe esporre la società acquirer ad una moltitudine di rischi (a seguito di lacune operative) e oneri gestionali, reputazionali ed economici non preventivati. Da canto suo invece, la target company potrà sfruttare un’eventuale adeguata maturità cyber nella negoziazione strategica della valutazione o nel posizionamento verso potenziali investitori.
Secondo i dealmaker, quindi, il rischio di sicurezza informatica rappresenta sempre più una delle principali preoccupazioni nell’esecuzione e nel successo delle operazioni di fusione e acquisizione. Forse uno dei casi più noti dell’ultimo periodo riguarda il deal di Marriott, che nel 2016 ha acquisito Starwood Hotels & Resorts per ca. $13,5 miliardi, sancendo la nascita di una delle più grandi catene alberghiere a livello globale. Purtroppo, secondo gli esperti per mancanza di una due diligence sulle tematiche di cyber security, nel term-sheet dell’accordo non sono state previste clausole specifiche a copertura di potenziali data breach: Marriot per questo motivo, post esecuzione del deal, ha dovuto sostenere ingenti costi a copertura dei danni collegati ad una violazione informatica subita da Starwood nel 2014.
M&A: come valutare l’impatto economico di rischi cyber e data breach
Concentrazioni e rischi privacy
D’altronde, affrontando l’argomento in termini più ampi, lo stesso European Data Protecion Board (EDPB) ha rilevato come le concentrazioni tra big corporate del mondo tech possano comportare un elevato livello di rischio per i diritti fondamentali alla vita privata e alla protezione dei dati personali, rammentando alle parti coinvolte di dover condurre in modo trasparente una valutazione il più completa possibile.
Si tratta quindi di verificare se la target company sia compliant, con le disposizioni del Regolamento UE n. 679/2016 e con le indicazioni dell’Autorità Garante della rotezione dei dati personali. L’oggetto dell’attività di indagine può quindi riguardare aspetti quali a titolo esemplificativo le informative verso i clienti e dipendenti, i contratti con i fornitori di soluzioni tecnologiche, la sussistenza di adeguate procedure di data breach, le procedure di audit verso i responsabili del trattamento dei dati, la formazione dei dipendenti in materia, l’adeguatezza delle misure di sicurezza.
Pertanto, è chiaro che la due diligence avrà connotazioni differenti in relazione al core business della target company: ad esempio, se quest’ultima svolge un’attività nel settore tecnologico attraverso una semplice app, gestendo dati personali su larga scala, gli aspetti privacy saranno particolarmente impattanti nella valutazione del rischio in capo all’acquirente rispetto ad un’attività tradizionale che magari ha un business model di tipo B2B.
I trend del mercato
Nei primi sei mesi del 2021, si segnala una crescita importante in controvalore superando quota 40 miliardi di euro – oltre 80% rispetto allo stesso periodo dell’anno precedente – anche beneficiando della chiusura di alcune grandi operazioni soprattutto concentrate nel settore finanziario o nelle realtà a contenuto tecnologico (Creval, Cerved e Cedacri, Nets/Nexi/Sia, etc). Si conferma, inoltre, il trend che vedeva la digital transformation (specialmente a supporto di remote working, education, e-commerce) e le tematiche ESG come i key drivers di attrattività per gli operatori di settore.
In aggiunta, a partire della seconda metà del 2020, si è riscontrato un incremento del numero dei c.d. scope deal, ossia operazioni focalizzate sulla necessità delle aziende di acquisire nuove capabilities per poter competere sui mercati sempre più sfidanti, soprattutto nei settori technology, retail (e.g., delivery) e assistenza sanitaria.
Le operazioni di acquisizione societaria, non solo finalizzate ad acquisire nuovo business ma anche capabilities, comportano il subentro dell’acquirente nel complesso patrimoniale funzionale all’esercizio dell’impresa e cioè in tutti i rapporti afferenti alla gestione societaria della target company.
Al fine di colmare l’asimmetria informativa che contraddistingue la fase che precede una qualsiasi operazione straordinaria (M&A, carve-out, turnaround) si procede con la cosiddetta due diligence che consiste nel reperimento di tutte informazioni riguardanti la target company al fine di verificare fattibilità dell’operazione stessa.
Tradizionalmente l’oggetto della due diligence riguarda gli ambiti più tradizionali come quello finanziario, legale, commerciale, operations, technology e ESG: tuttavia si stanno affermando attività di indagine prodromica all’acquisizione che hanno ad oggetto materie specifiche afferenti a regole di settore la cui violazione comporta l’applicazione di sanzioni pecuniarie, a volte con riflessi anche di natura reputazionale, come la privacy e la cyber security.
Due diligence: gli aspetti privacy da considerare
Cosa dovrebbe avere ad oggetto, dunque, la due diligence sotto il profilo legale per quanto concerne gli aspetti privacy impattanti? In prima battuta sarebbe necessario verificare la conformità agli artt. 24 e 25 del GDPR ovvero la verifica circa l’adempimento a tutti gli obblighi generali a suo carico, in particolare all’adozione delle misure tecniche ed organizzative adeguate, tutto ciò al fine di garantire che il trattamento dei dati è stato effettuato conformemente al GDPR e più precisamente:
- il rispetto del principio di privacy by design secondo il quale il titolare di un trattamento deve effettuare, fin dalla fase di progettazione, una valutazione preventiva e preoccuparsi di mettere in atto tutto quell’insieme di misure che permettano al trattamento dei dati di essere conforme al regolamento
- il rispetto del principio di privacy by default il quale impone al titolare per impostazione predefinita il trattamento dei soli dati necessari e sufficienti per le finalità previste e per un periodo di tempo necessario alle finalità individuate
- verificare che in ossequio al criterio dell’accountability il titolare abbia adottato condotte di auto-responsabilizzazione e di valutazione interna con un approccio basato sul rischio sensibilizzando l’intera struttura.
- garantire che siano stati trattati esclusivamente i dati personali necessari per ogni singola finalità del trattamento, avendo reso inaccessibili i dati personali ad un numero indefinito di persone fisiche.
Nell’individuazione delle misure tecniche ed organizzative adeguate, si dovrà invece tenere conto di elementi quali la natura del trattamento, l’ambito di applicazione, il contesto, le finalità del trattamento, i rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.
Il giudizio in merito all’attuazione di misure tecniche organizzative finalizzate a garantire un livello di sicurezza adeguato al rischio potrebbe tenere conto dei seguenti parametri:
- la confidenzialità, l’integrità e la disponibilità dei dati personali trattati;
- il test e la valutazione periodica di efficacia delle procedure e delle misure implementate;
- l’implementazione di misure di protezione delle reti, dei sistemi e dei software con i quali vengono trattati i dati personali;
- le soluzioni di continuità di servizio in grado di garantire la disponibilità e l’integrità dei dati (e.g., Backup Plan, Disaster Recovery);
- l’implementazione di soluzioni in grado di rilevare tentativi non leciti di accesso ai dati personali in grado di garantire il rispetto delle prescrizioni del GDPR in merito alle violazioni (Data Breach);
- l’adozione di soluzioni per il tracciamento delle attività effettuate sui dati personali che siano compatibili con i requisiti imposti dalle leggi.
Scenari di security risk da considerare
Dovranno inoltre essere prese in considerazione le eventuali valutazioni di impatto ai sensi dell’art. 35 del GDPR che disciplina la necessità da parte del titolare di effettuare una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali prima di effettuare il trattamento stesso. Pertanto, nella fase di progettazione – in particolare nel caso di nuove tecnologie – considerato la natura, l’oggetto, il contesto e le finalità, è verosimile che possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Il titolare infatti è tenuto non soltanto a garantire l’osservanza delle disposizioni del GDPR, ma anche a dimostrare adeguatamente in che modo viene garantita tale osservanza sulla base di una specifica autovalutazione, anche secondo le linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” emanate dall’European Data Protection Board[1].
È opportuno dunque valutare con attenzione l’entità e la tipologia di investimenti effettuati da parte della target company in sicurezza informatica e conoscere in modo dettagliato il modello organizzativo relativo alla privacy che è stato approntato al fine di mitigare il rischio connesso al trattamento dei dati personali.
D’altronde nell’ultimo periodo di pandemia, il ricorso al cloud e al lavoro da remoto ha reso la protezione di informazioni e dati sempre più centrale: questo ha sottolineato l’importanza di focalizzare l’attenzione su progettualità e security policy che l’impresa target ha adottato e/o ha intenzione di adottare nel periodo di osservazione.
Si tratta dunque di operare una valutazione di cyber security risk in fase di due diligence anche in relazione a quelli che possano essere i futuri scenari legati all’utilizzo di nuove tecnologie, ossia operare preventivamente una c.d. prova della resistenza delle misure adottate. La valutazione in merito al rischio legato alla sicurezza informatica dovrà comunque essere proporzionata alla tipologia di core business della società target e quindi sarà necessario individuare la tipologia dei dati acquisiti, la mole delle informazioni e gli eventuali rischi per i diritti e le libertà degli utenti.
L’indagine, quindi, dovrà concentrarsi in particolare su attività progettuali quali penetration test, security data, networking security, application security, security information & event management. Si tratta, in sintesi, di una serie di azioni che hanno ad oggetto la sicurezza informatica interna di una struttura al fine di prevenire attacchi esterni, ma anche la protezione dei dati da minacce che riguardano punti di contatto come il web, i social network o in genere i flussi di comunicazione in ingresso e uscita (e.g., la messaggistica tramite device).
Pertanto, anche nell’individuazione dell’advisory team è fondamentale la multidisciplinarietà al fine di coprire tutte le competenze necessarie per l’esecuzione della due diligence: negli ultimi deal, infatti, si sono affermati gruppi di professionisti composti da esperti di privacy, processi, architetture e processi informatici.
Il risultato dell’attività di due diligence servirà dunque a capire anche il livello di rischiosità sotto il profilo di privacy – sicurezza dei dati e pertanto si dovrà tenere conto di questi aspetti anche in sede di negoziazione della valutazione: fondamentale importanza avranno le previsioni di specifiche warranties ove le parti prevederanno un sistema di indennizzo in caso di violazione delle garanzie rilasciate sulla corretta gestione dei dati personali.
Note
- EDPB – collegio dei garanti della privacy europei, 04 aprile 2017 ↑