Privacy nelle operazioni di M&A: valutare i rischi prima del closing

Negli ultimi anni, il tema della privacy durante le operazioni di merger & acquisition (M&A) ha assunto un’importanza cruciale. Un recente episodio, la sanzione inflitta dal Garante per la protezione dei dati personali a Intesa Sanpaolo per un comportamento considerato illegittimo nella selezione dei clienti per Isybank, mette in evidenza la necessità di una corretta gestione dei dati in queste operazioni. Le aziende, al fine di garantire un passaggio fluido e legittimo delle informazioni, devono prestare particolare attenzione alla compliance privacy, evitando di vedere questa come un mero ostacolo per il business.

Il valore dei dati nelle operazioni M&A

L’evoluzione dell’economia ha spostato il focus degli asset aziendali dai beni materiali a quelli immateriali, con i dati personali che rappresentano ora una risorsa fondamentale. Secondo l’European Data Market Study, il valore della data economy è previsto in costante aumento, raggiungendo 579 miliardi di euro nel 2024. Tuttavia, nonostante il valore crescente, spesso la privacy non viene adequately considerata durante le due diligence. Le grandi società di consulenza tendono a trattare privacy e M&A come compartimenti stagni, trascurando l’integrazione di queste aree già dalle prime fasi del processo.

Ciò ha portato a situazioni problematiche, come nel caso di Intesa Sanpaolo e in un noto episodio che ha coinvolto Marriott, dove la violazione della protezione dei dati è emersa solo dopo l’acquisizione, comportando sanzioni significative. Per evitare tali incertezze, è fondamentale adottare strategie proattive durante le operazioni di M&A.

La necessità di trasparenza e gestione dei dati

Uno degli errori più comuni è sottovalutare la necessità di trasparenza verso gli utenti e clienti. Si tende a pensare che il trasferimento di un ramo d’azienda non comporti obblighi di informativa nei confronti degli interessati, ma questa è una falsa credenza. Infatti, la legge richiede che l’utente sia informato riguardo al trattamento dei propri dati e sull’identità del nuovo titolare. La trasparenza non è solo una questione di compliance, ma rappresenta anche un elemento essenziale per mantenere la fiducia degli utenti.

Un’altra criticità riguarda la validità dei consensi ottenuti dagli utenti. Spesso si presume che questi consensi rimangano in vigore durante e dopo l’acquisizione, ma bisogna valutare attentamente la loro validità, considerando fattori come il double opt-in. Dati raccolti invalidamente possono rivelarsi problematici e svalutare un potenziale asset aziendale.

Considerazioni sulla sicurezza informatica e gestione della due diligence

Un altro aspetto cruciale è la sicurezza dei database e dei software dell’azienda acquisita. Rimanendo sul tema della privacy, l’esperienza di Marriott dimostra come attacchi informatici possano compromettere i dati di migliaia di clienti, portando a conseguenze disastrose. Durante le operazioni di due diligence, è imperativo esaminare lo stato della sicurezza informatica della tecnologia dell’azienda acquisita. Ignorare questa analisi potrebbe comportare costi elevati e risvolti legali non previsti.

Conclusione pratica

In sintesi, il processo di M&A non può prescindere da una gestione attenta della privacy, che non deve essere vista come un ostacolo, ma come parte essenziale dell’operazione. Le aziende italiane devono adottare un approccio olistico che consideri la privacy come una componente chiave della strategia aziendale. Solo così sarà possibile garantire che il passaggio di dati avvenga in modo legittimo ed efficace, riducendo il rischio di sanzioni e preservando la fiducia della clientela. La lezione da apprendere è che in un contesto sempre più digitale, l’attenzione alla protezione dei dati può rivelarsi un elemento distintivo per il successo delle operazioni di M&A.