l processo di datafication che ha caratterizzato i primi decenni del XXI secolo non accenna a rallentare, con proiezioni che vedono il volume dei dati prodotti a livello globale passare da 33 zettabyte nel 2018 a 175 zettabyte nel 2025.
Il parallelo sviluppo di tecnologie fondate su meccanismi di Intelligenza artificiale, con particolare riferimento alle tecniche di Machine learning, ha consentito di fare passi da gigante nei processi di analisi delle informazioni ed estrazione di nuove forme di conoscenza, con conseguente miglioramento dei processi deduttivi e decisionali automatizzati, nonché ulteriore stimolo alla raccolta di informazioni, in una sorta di circolo virtuoso.
Il connubio tra tali due elementi è alla base della cosiddetta Data-driven economy, ovverosia quella forma di economia fondata proprio sulla valorizzazione dei dati che vengono quotidianamente prodotti, mediante la loro elaborazione e analisi condotta tramite strumenti tecnologici avanzati.
Date le premesse, non è difficile intuire come, in questo periodo storico, i database aziendali si siano trasformati in un vero e proprio asset strategico, tangibile e autonomo rispetto all’impresa stessa, in quanto tali sempre più spesso protagonisti nell’ambito delle operazioni societarie di natura straordinaria, quali fusioni, acquisizioni e scissioni, ma anche in caso di cessioni o affitti di rami d’azienda.
Qualora nell’ambito di una delle operazioni in questione siano coinvolti database contenenti dati personali, tale trasformazione pone notevoli sfide per le aziende sotto il profilo della normativa privacy, considerato che il passaggio di mano della banca dati tra le parti coinvolte determina un trattamento pregno di conseguenze ai sensi del Regolamento (UE) 2016/679 (Gdpr).
Ciò è ancor più vero nel caso in cui le banche dati contengano dati personali trattati sulla base del consenso degli interessati, come di norma avviene nell’ambito di database contenenti dati di clienti, lead o prospect impiegati per finalità di marketing e profilazione. Si pensi, per esempio, al database sottostante un software con funzionalità di Customer Relationship Management (Cmr), ma anche, più banalmente, all’elenco dei soggetti iscritti alla newsletter aziendale.
Quali sono dunque gli accorgimenti necessari per garantire che il trattamento di questa tipologia di banche dati sia conforme alla disciplina vigente in materia di protezione dei dati personali?
Due diligence: attenzione all’accountability
La fase di due diligence è fondamentale nella dinamica dell’operazione anche per quanto riguarda i profili data protection: essa consentirà di acquisire informazioni di grande rilevanza sulle tipologie di trattamenti operati dalla società target, rendendo possibile valutare l’effettiva conformità degli stessi alle disposizioni normative e, di conseguenza, la solidità dei database di cui il buyer intende entrare in possesso con il perfezionamento dell’operazione.
Fatta salva una più generica necessità per l’acquirente di avere una conoscenza approfondita del modello di governance e delle misure tecniche e organizzative adottate dalla società target, con specifico riferimento agli archivi contenenti dati di interessati rilasciati dietro consenso, sarà fondamentale acquisire in sede di esame preliminare:
- elementi idonei a provare l’avvenuto rilascio di un valido consenso da parte degli interessati, a prescindere dalle modalità di raccolta dello stesso (ad esempio la registrazione di una chiamata, copia del modulo di raccolta dati sottoscritto dall’interessato, oppure log estratto dai sistemi informatici). Dovrà in particolare emergere con chiarezza la data di raccolta del consenso, informazione che metterà il titolare nella condizione di svolgere debite considerazioni in merito al rispetto dei principi di cui all’articolo 5 del GDPR, tra cui quello di limitazione della conservazione, limitazione della finalità, correttezza e liceità,
- documentazione che testimoni le informazioni fornite all’interessato contestualmente alla raccolta del consenso (ad esempio copia della privacy policy disponibile on-line ratione temporis), da cui il buyer potrà estrarre informazioni chiave per definire il quadro del trattamento.
Ciò servirà, non solo a certificare il corretto trattamento dei dati da parte della società target, ma servirà anche come base per valutare in maniera strategica i possibili utilizzi degli archivi a valle dell’operazione. Quale valore aggiunto, si noti poi che tale documentazione ben potrebbe essere richiesta in sede ispettiva dall’autorità competente, come testimonia il provvedimento emesso dal Garante per la protezione dei dati personali nei confronti della catena di profumerie Douglas, che ha visto il Garante chiedere alla società incorporante “esempi di informative e consensi al marketing” per ciascuna delle società incorporate nel corso del 2019, due anni prima dell’accertamento ispettivo.
Il principio dell’accountability assume dunque particolare rilievo nella fase di due diligence, garantendo al titolare la possibilità di perseguire una triplice finalità:
- soppesare eventuali lacune in materia di protezione dei dati personali, che non mancheranno di riflettersi nella valutazione della società target o addirittura sull’opportunità di procedere con l’operazione,
- delimitare l’ambito del trasferimento e approntare idonei strumenti per procedere a un sicuro trasferimento dei dati, sia sotto un profilo contrattuale (mediante la redazione, ad esempio, di un apposito data transfer o data sharing agreement),
- porre le premesse per tutelarsi in caso di eventuali contestazioni future. Contestazioni che potrebbero causare danno all’acquirente anche a distanza di anni dall’operazione stessa, come emerge dal provvedimento emesso nei confronti della catena di alberghi Marriott sanzionata nel 2020 dall’Information Commissioner’s Office, autorità di controllo britannica, per oltre 18 milioni di sterline a causa di una data breach subita da una società acquisita nel 2016 e non rilevato nel corso dell’operazione a causa di una carente due diligence.
Un’utile guida per la corretta gestione dell’attività di due diligence si può rinvenire nel Data sharing code of practice, la cui versione più recente è stata adottata dall’Ico nel 2021 e vede un intero paragrafo dedicato alla disciplina del processo in questione.
La trasparenza prima di tutto
Tema assolutamente centrale nella fase immediatamente successiva alla conclusione di un’operazione societaria è quello della trasparenza nei confronti degli interessati.
Tali operazioni, infatti, comportano effetti non solo sulla titolarità di beni e rapporti giuridici, ma anche sulla titolarità del trattamento dei dati personali che vedrà, a seguito del perfezionamento, un mutamento nel soggetto qualificabile come titolare del trattamento, come ha avuto modo di precisare il Garante in più occasioni, sin dal 2008.
In considerazione del mutamento sopra descritto, la società acquirente o incorporante risulta soggetta all’obbligo di informativa nella forma di cui all’articolo. 14 del GDPR, avendo acquisito l’archivio – e i dati in esso contenuti – dal precedente titolare del trattamento.
L’informativa – che dovrà includere anche espressi i riferimenti “le categorie di dati personali” oggetto di cessione e “la fonte da cui hanno origine i dati personali” dovrà essere fornita all’interessato al più tardi entro un mese dal subentro nella titolarità o, ove si tratti di dati destinati alla comunicazione (come possono essere quelli inclusi in un database creato per finalità di marketing), al più tardi al momento del primo contatto con l’interessato.
Nel caso in cui la fornitura della nuova informativa possa comportare l’impiego di mezzi manifestamente sproporzionati – tema che di norma si pone nei casi in cui i database soggetti a cambio di titolarità contengano un numero elevato di soggetti – rimane ferma la possibilità per il nuovo titolare di essere esonerato dall’obbligo di informativa, a condizione che:
- i fattori che determinano l’impossibilità o l’eccessiva onerosità della comunicazione delle informazioni abbiano natura oggettiva e siano oggetto di specifica documentazione,
- vengano adottate misure appropriate per tutelare i diritti degli interessati.
Per comprendere cosa si intenda con “misure appropriate”, è possibile fare riferimento alle “Prescrizioni in materia di operazioni di fusione e scissione fra società” del Garante, pubblicate nel 2008, che, in un’ottica di snellimento degli adempimenti, ha previsto la possibilità di assolvere agli oneri informativi mediante:
- pubblicazione del testo di informativa sul sito web delle società interessate dalle operazioni societarie,
- comunicazione individualizzata agli interessati in occasione della prima circostanza utile di contatto (ad esempio, per la clientela, in sede di invio delle ordinarie comunicazioni di natura commerciale).
Validità dei consensi
Quanto alla validità del consenso prestato dagli interessati nei confronti della società target, l’Autorità ha in passato chiarito che, in caso di fusione per incorporazione, la società incorporante diviene “l’unico titolare del trattamento in relazione ai dati personali precedentemente trattati dalla società incorporata senza che si configuri alcuna (nuova) raccolta di dati”, dando risalto alla continuità dei rapporti.
In modo simile, con riferimento al processo di cessione di un ramo d’azienda, l’Autorità ha dato atto che, in ragione della peculiare disciplina applicabile, “sul piano sostanziale si determina una successione legale del nuovo imprenditore in tutti i rapporti giuridici e in tutte le posizioni attive e passive facenti capo al cedente”, cui fa seguito il venir meno della necessità di raccogliere un ulteriore e distinto consenso ai fini dei trattamenti “connessi alla gestione del ramo di azienda ceduto”.
Il Garante sembra dunque ammettere la prosecuzione della validità del consenso rilasciato nei confronti del precedente titolare del trattamento in caso di operazioni societarie, nel caso in cui i trattamenti proseguano “in termini sostanzialmente invariati” rispetto alla situazione precedente.
Ma cosa succede se il nuovo titolare intende attuare trattamenti non del tutto in linea con quelli raccolti in precedenza? Possiamo trovare alcune utili indicazioni in merito nella già citata decisione relativa a Douglas Italia S.p.A. In particolare, il Garante non solo sembra riconoscere come lecita la possibilità per il nuovo titolare di ricorrere a campagne di rinnovo del consenso al fine di consolidare la banca dati acquisita nell’ambito di operazioni societarie, ma arriva a imporre una misura analoga, quale correttivo, all’azienda sanzionata, fondando l’invio della relativa comunicazione sul meccanismo del soft-spam previsto dal quarto comma dell’articolo 130 del Codice Privacy.
Rimane inteso che l’attività di refresh dei consensi dovrebbe essere condotta solo a valle di un’attenta valutazione da parte del nuovo titolare, auspicabilmente formalizzata mediante apposita Valutazione d’impatto sulla protezione dei dati (Dpia), che tenga in debita considerazione le circostanze del trattamento, le aspettative degli interessati e le misure a tutela di questi.
Particolare attenzione dovrebbe essere rivolta all’informativa da fornire ai destinatari e ai tempi di conservazione da applicare nei confronti dei dati relativi a quegli interessati che non intendano rinnovare il proprio consenso al trattamento: nel provvedimento Douglas, per esempio, il Garante individua un termine semestrale, alla scadenza del quale impone al nuovo titolare di cancellare le informazioni. È poi da escludersi che un simile invio massivo possa avvenire su canali di comunicazione diversi dalla posta elettronica.
Conclusioni
Come abbiamo visto, la valorizzazione del tema della Data protection fino dalle prime fasi della due diligence non è solo indispensabile per valutare i rischi connessi all’operazione stessa, ma anche per garantire un efficace e lecito sfruttamento degli archivi acquisiti.
Ripercorriamo quindi insieme i principali accorgimenti che le parti dovrebbero adottare al fine di gestire una banca dati contenente dati personali trattati sulla base del consenso degli interessati nell’ambito di operazioni societarie che prevedano un mutamento nella titolarità. Il nuovo titolare, in particolare, dovrà:
- ottenere un quadro chiaro ed esaustivo dei database coinvolti nell’operazione, del livello di aggiornamento dei dati ivi contenuti, dei termini di conservazione applicati e dello stato dei consensi forniti dagli interessati,
- raccogliere e conservare documentazione idonea a comprovare il corretto e lecito trattamento di dati personali contenuti negli archivi fino dalla loro acquisizione mediante una accurata e meticolosa opera di due diligence,
- individuare le misure tecniche da adottare per garantire che il trasferimento della banca dati tra i due titolari non esponga i dati a perdite di riservatezza, disponibilità o integrità,
- attivarsi – a valle del perfezionamento dell’operazione – per dare adempimento a tutti gli obblighi in materia di protezione dei dati personali che su di esso ricadano in quanto nuovo titolare del trattamento, quali, ad esempio, la tempestiva definizione di una policy di Data retention, la predisposizione e l’invio dell’informativa aggiornata agli interessati e la diligente manutenzione del registro delle attività di trattamento.
A livello pratico, la gestione efficiente e corretta di un database che contiene dati di natura personale è complessa. Richiede grande attenzione e sensibilità da tutte le parti coinvolte, anche in considerazione delle potenziali conseguenze che possono derivare da un errato trattamento.
Spesso, ciò si traduce nell’esigenza di ricorrere a professionisti esterni che possano portare in campo la propria expertise e assicurare una corretta gestione degli aspetti privacy nel corso dell’operazione.
Fonte: https://www.agendadigitale.eu/sicurezza/privacy/marketing-banche-dati-consensi-evitare-sanzioni/