Operazioni societarie e contratti di acquisizione: adempimenti privacy a carico degli attori interessati

Le operazioni societarie e i contratti di acquisizione (Mergers & Acquisitions, M&A) comportano la comunicazione di dati personali.

Semplificando all’estremo, nelle operazioni straordinarie di M&A (come fusioni, acquisizioni, cessioni d’azienda) un soggetto trasferisce degli asset a un altro soggetto.

Questi asset comprendono anche dati personali?

La risposta è necessariamente positiva: basti pensare che anche i dati di contatto aziendale sono dati personali e che, di conseguenza, pressoché qualunque contratto – sia esso concluso con un fornitore, con un dipendente, o con un cliente – contiene dati personali; per tacere, poi, dei casi in cui il business della società target si basa in larga parte sul trattamento di dati personali, o in cui gli asset da trasferire sono dei veri e propri database.

Quindi, il trasferimento riguarda anche dati personali. Ma il trasferimento altro non è se non una comunicazione di dati personali, e la comunicazione è un’attività di trattamento.

Il “soggetto A” (sempre semplificando, il “venditore”), verosimilmente titolare del trattamento, trasferisce/comunica dati di propria titolarità al “soggetto B” (continuando a semplificare, il “compratore”) che, ancora verosimilmente, li tratterà a sua volta come titolare autonomo.

Nella più semplice delle ipotesi, questo trasferimento/comunicazione comporta soltanto una variazione dell’identità del titolare del trattamento; ma possono esserci casi in cui la variazione interessa anche le finalità e le modalità del trattamento.

Occorre, ora, chiedersi quali sono gli adempimenti necessari affinché, nel contesto di un’operazione straordinaria:

1. il “soggetto A” possa trasferire, cioè comunicare, dati personali di propria titolarità al “soggetto B”;
2. il “soggetto B” li possa a sua volta trattare come titolare autonomo.

L’informativa sul trattamento dei dati personali

L’acquisizione di dati personali per effetto di un’operazione straordinaria integra, per il “soggetto B” (i.e. il nuovo titolare del trattamento), l’ipotesi della raccolta di dati personali da una fonte diversa dai diretti interessati: c’è, quindi, un obbligo di informativa, seppur circoscritto a tutti gli elementi che, a quegli interessati, non sono già noti (art. 14, comma 5, lettera a) del GDPR).

Anche qualora il trattamento da parte del “soggetto B” sia in tutto analogo a quello svolto dal “soggetto A” (e in relazione al quale si deve presumere che il “soggetto A” abbia già fornito idonea informativa agli interessati, diversamente ci si troverebbe di fronte a un trattamento illecito di dati personali), ci saranno almeno due aspetti del trattamento certamente nuovi e dei quali gli interessati dovranno essere edotti:

• l’identità del “soggetto B”, ossia del soggetto che riceve i dati che li tratterà come titolare autonomo;
• i contatti per l’esercizio dei diritti in materia di tutela dei dati personali.

Nelle operazioni straordinarie, i dati personali che vengono trasferiti sono spesso e volentieri riferibili a un numero importante di soggetti interessati, tale da rendere obiettivamente gravoso l’adempimento dell’obbligo di fornire un’informativa che, seppur breve, deve essere data a ciascun interessato ed «entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese» o, «nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato» (art. 14, comma 3 del GDPR); e, in ogni caso, prima dell’inizio del trattamento, qualora il titolare «intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati ottenuti» (art. 14, comma 4 del GDPR).

Le difficoltà connesse a una fornitura individuale dell’informativa sul trattamento dei dati personali nel contesto di operazioni straordinarie hanno indotto diversi titolari a rivolgersi al Garante ai sensi dell’art. 13, comma 5 del Codice Privacy che, prima dell’abrogazione ad opera del D.lgs. 101/2018, esonerava dall’obbligo in commento nel caso in cui «l’informativa all’interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile».

Questo requisito della sproporzione è stato, in effetti, ritenuto sussistente dal Garante proprio in diverse ipotesi di operazioni straordinarie.

I provvedimenti adottati dall’Autorità non hanno, però, escluso del tutto l’obbligo di fornitura dell’informativa sul trattamento dei dati personali, preferendo consentirne la consegna con modalità semplificate, quali:

• la pubblicazione di un annuncio sul sito web delle società coinvolte nell’operazione straordinaria;
• seguita da una comunicazione individuale agli interessati alla prima occasione utile di contatto successiva al perfezionamento della comunicazione dei dati personali al “nuovo” titolare del trattamento.

Si può dire che i provvedimenti del Garante, adottati nel vigore del “vecchio” Codice Privacy, siano ancora attuali? Ragionevolmente sì.

Anche il GDPR prevede infatti, quale ipotesi di esonero dall’obbligo di fornire l’informativa, il caso in cui «comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato […] In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni» (art. 14, comma 5, lettera b) del GDPR).

E queste «misure appropriate» ben possono ispirarsi a quelle che il Garante ha indicato in passato: fermo restando che, per il principio dell’accountability (ed essendo venuto a mancare un obbligo di verifica/autorizzazione preventiva da parte dell’Autorità), sarà il titolare a dover valutare se ricorrono i presupposti per un esonero dall’obbligo di informativa individuale e, in caso positivo, quali misure adeguate adottare a tutela degli interessati.

Il consenso al trattamento dei dati personali

Chiarito che l’obbligo di informativa permane, pur se ragionevolmente “attenuato”, occorre chiedersi se occorra anche acquisire il consenso preventivo degli interessati al trasferimento dei loro dati personali nel contesto e per l’effetto di un’operazione straordinaria.

Il trasferimento/comunicazione dei dati personali costituisce, per il “soggetto A”, un’operazione di trattamento, e ogni operazione di trattamento richiede anche una base giuridica: la base giuridica deve essere il consenso dell’interessato?

Nel vigore del “vecchio” Codice Privacy, il trattamento di dati personali era consentito solo previo consenso dell’interessato (art. 23, comma 1 del Codice Privacy prima dell’abrogazione ex D.lgs. 101/2018), salvo il ricorrere di una delle ipotesi di esenzione (art. 24, comma 1 del Codice Privacy prima dell’abrogazione ex D.lgs. 101/2018), tra cui:

• quella del trattamento «necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria» (si possono citare gli adempimenti contabili e fiscali);
• quella del trattamento «necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato» (si pensi ai casi di successione legale nei rapporti giuridici, quale quello conseguente alla cessione di ramo d’azienda); e
• quella del trattamento che, «con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei princìpi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato».

Diversi titolari del trattamento si sono visti autorizzare a trattare, senza l’acquisizione di uno specifico consenso, i dati acquisiti per effetto di operazioni straordinarie sulla base di questo giudizio di bilanciamento compiuto dal Garante.

Un particolare peso ha avuto, in questi casi, la constatazione che le finalità del trattamento sono rimaste immutate dopo il trasferimento.

Grazie al GDPR, il consenso non è più il presupposto principale del trattamento: le basi giuridiche elencate nell’art. 6, compreso il legittimo interesse del titolare o di terzi, hanno tutte pari rango ed importanza.

Si deve, quindi, concludere che ci sono solo due limiti al ricorso dei titolari del trattamento alla base giuridica del legittimo interesse (in luogo del consenso):

• il primo, è costituito dalla ricorrenza di un’altra base giuridica, più opportuna (come quella dell’adempimento di un obbligo legale, o dell’esecuzione di un contratto);
• il secondo, è dato dall’esito del giudizio di bilanciamento, che deve oggi essere compiuto dal titolare del trattamento senza alcun vaglio preventivo del Garante, con ogni relativo onore ed onere, compreso quello di documentarlo e di renderne adeguatamente edotti gli interessati.

Operazioni societarie e contratti di acquisizione: ulteriori adempimenti

La fornitura di un’informativa sul trattamento dei dati personali e la verifica della sussistenza di una base giuridica per il trasferimento/comunicazione dei dati dal “soggetto A” al “soggetto B” non sono, chiaramente, gli unici adempimenti da tenere in considerazione nel contesto di un’operazione straordinaria.

Oltre a dover redigere o integrare, a seconda dei casi, il proprio registro delle attività di trattamento e a dover adottare adeguate misure di sicurezza, il “soggetto B” potrà anche dover svolgere – inter alia – delle valutazioni d’impatto.

A caratteristiche e modalità di trattamento invariate, il “nuovo” titolare del trattamento dovrà quantomeno verificare la valutazione d’impatto già eseguita dal titolare precedente e, a seconda dei casi, confermarla o aggiornarla e adottare ogni ulteriore misura adeguata.

Il tutto, naturalmente, prima di procedere al trattamento.

Operazioni societarie e contratti di acquisizione: inutilizzabilità dei dati

Cosa fare se, nella fretta e nell’entusiasmo di chiudere un’operazione straordinaria (operazioni societarie e contratti di acquisizione), non è stata fornita alcuna informativa agli interessati, non è stata verificata la sussistenza di una base giuridica per la comunicazione dei loro dati e il successivo trattamento, e non sono stati aggiornati i registri e verificate le eventuali valutazioni d’impatto?

La risposta non può che muovere dall’art. 2-decies del Codice Privacy: «I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati».