Comunicazione dei dati nel quadro di concentrazioni di imprese

Nel mondo economico, le fusioni aziendali sono all’ordine del giorno. È chiaro che in questo contesto si fa sempre ricorso a dati personali. Nei vari processi riorganizzativi e di fusione, i dati personali trasmessi vengono rielaborati in vario modo con il rischio che persone non autorizzate possano accedere a informazioni personali, che troppi dati vengano comunicati (troppo presto o alle persone sbagliate) o che dati personali vengano improvvisamente usati per uno scopo diverso da quello normalmente previsto.

Le concentrazioni di imprese e l'alienazione di parti d'impresa sono procedure quotidiane in economia che in sostanza si possono distinguere in due fasi. Nella fase di preparazione e di conclusione del contratto hanno luogo negoziati fra le parti alla fusione, ovvero fra l'acquirente e l'alienante dell'impresa o della parte di impresa, negoziati che sfociano in un contratto di fusione o in un contratto d'acquisizione. Nella fase di assunzione hanno poi luogo la concentrazione vera e propria delle imprese o l'assunzione del settore dell'impresa.

Poiché nelle imprese quasi sempre si trattano dati personali, anche nelle concentrazioni di imprese vanno osservate le disposizioni della legge federale sulla protezione dei dati (LPD; RS 235.1).

Nel corso dei negoziati contrattuali con potenziali acquirenti le imprese, di regola, eseguono una procedura di due diligence (controllo dettagliato di un'impresa a livello finanziario, legale, fiscale, tecnologico ecc.) in cui agli acquirenti è data la possibilità di farsi un'idea della situazione commerciale e dunque del valore dell'impresa. In tal modo, oltre agli attivi dell'impresa, l'acquirente tenta di identificare anche possibili sinergie e rischi per valutare quale utilità comporterebbe un'acquisizione, ovvero una fusione. Per questa ragione l'acquirente si adopera per ottenere il maggior numero di informazioni possibilmente complete.

Una volta concluso il contratto di fusione o d'acquisizione, si acquisiscono e integrano le parti dell'impresa. Di regola, vengono riorganizzati e raggruppati i settori commerciali e in questa occasione si trasferiscono anche dati personali in altri settori commerciali per essere impiegati con profitto nell'impresa ristrutturata. Dal profilo della protezione dei dati occorre fare in modo che, anche dopo la fusione, i dati personali siano trattati conformemente alle disposizioni della LP.

Rischi

In materia di protezione dei dati, il pericolo principale nell'ambito delle concentrazioni di imprese risiede in un trattamento e in una trasmissione di dati non autorizzati. Nella fase di preparazione e nella fase di conclusione del contratto vi è il pericolo che nell'ambito della due diligence il volume della trasmissione di dati personali sia troppo ampio e che i potenziali acquirenti vengano a conoscenza di più informazioni personali di quante siano necessarie per l'acquisizione dell'impresa. Nel corso dell'integrazione delle imprese, o delle parti dell'impresa, dati personali potrebbero essere trasferiti in altre parti dell'impresa o essere utilizzati per uno scopo diverso da quello indicato al momento del rilevamento. Per queste ragioni, nel quadro di fusioni e di acquisizioni di imprese devono essere analizzati e tenuti in debita considerazione i rischi legati alla protezione dei dati.

Rischi nella fase di preparazione e di conclusione del contratto

Nel quadro della due diligence, di regola le imprese allestiscono un "Information Room" (stanza delle informazioni) nella quale vengono portate tutte le informazioni rilevanti per la valutazione dell'impresa. I potenziali acquirenti ottengono quindi l'accesso a questa stanza e vi possono consultare i documenti e prendere appunti. Di solito si tratta di informazioni riguardanti fornitori, clienti, lavoratori e altri partner commerciali.

I due rischi principali di una trasmissione di dati non autorizzata sono i seguenti:

  • si possono presentare acquirenti che non sono davvero interessati all'acquisizione, bensì semplicemente alle informazioni messe a disposizione dall'impresa nel quadro della due diligence;
  • può succedere che l'impresa (per disattenzione o per conseguire un maggiore ricavo dalla vendita) metta a disposizione più informazioni personali di quante strettamente necessarie.

In entrambi i casi si possono verificare violazioni della protezione dei dati, per cui le imprese andrebbero rese sensibili a tali aspetti già nella fase di preparazione.

Rischi nella fase di assunzione

Durante l'assunzione del settore commerciale o la concentrazione delle imprese vengono ristrutturati e raggruppati diversi settori commerciali, scorporati lavori e confrontate fra loro e riunite raccolte di dati. In occasione di simili misure di ristrutturazione spesso si verifica l'intera impostazione dell'esercizio commerciale in modo da renderlo più efficiente e redditizio. Può succedere che raccolte di dati personali vengano trasferite in altri settori commerciali e lì utilizzati per scopi diversi da quelli comunicati alla persona interessata al momento del rilevamento dei dati. Nella maggior parte dei casi non vi sono cattive intenzioni da parte delle imprese all'origine di una simile violazione della protezione dei dati, bensì, sovente, nel quadro della ristrutturazione, si dimentica semplicemente per quale scopo i dati erano stati raccolti.

Misure e raccomandazioni

Nelle concentrazioni di imprese devono essere rispettati i principi del trattamento dei dati di cui all'articolo 4 LPD. Se ciò è il caso e vi sono pertinenti motivi giustificativi di cui all'articolo 13 LPD, nel quadro di una fusione è possibile, contro l'esplicita volontà della persona interessata, trattare dati personali e comunicare a terzi dati personali degni di particolare protezione o profili della personalità. Un simile motivo sussiste in caso di consenso della persona lesa, di un interesse preponderante privato o pubblico o se una legge prevede il trattamento dei dati (art. 13 cpv. 1 LPD). La legge menziona ad esempio esplicitamente la conclusione o l'esecuzione di un contratto quale motivo giustificativo per il trattamento di dati personali (art. 13 cpv. 2 lett. a LPD).

Inoltre, nel contesto in cui operano le imprese, esistono spesso specifici obblighi di discrezione o di segretezza professionali o legali, che devono essere considerati poiché per lo più comportano conseguenze penali. Vi rientrano in particolare l'articolo 35 LPD (violazione dell'obbligo di discrezione) e l'articolo 47 della legge federale sulle banche e le casse di risparmio (segreto bancario; LBCR; RS 952.0). Tali obblighi di segretezza legali devono essere rispettati in ogni caso anche nel quadro di una concentrazione di imprese.

Nella comunicazione di dati all'estero occorre notare che i dati personali non possono essere comunicati all'estero qualora la personalità della persona interessata possa subirne grave pregiudizio, dovuto in particolare all'assenza di una legislazione che assicuri una protezione adeguata (art. 6 cpv. 1 LPD).

Misure nel quadro della preparazione e della conclusione del contratto

Durante la fase di preparazione e di conclusione del contratto, una comunicazione di dati a terzi nel quadro della due diligence può essere giustificata dall'articolo 13 capoverso 2 lettera a LPD poiché l'acquirente riprende l'insieme dei diritti e degli obblighi contrattuali, diventando così parte contraente dei clienti dell'oggetto acquisito. Deve ad esempio garantire loro che gli obblighi contrattuali contratti dall'impresa acquisita verranno rispettati. Per valutare quali rischi vi sono in questi obblighi e se è in grado di garantire questi accordi, l'acquirente viene debitamente informato nel quadro della due diligence. Per questa ragione, una trasmissione di dati è da intendere come un trattamento «in relazione diretta con [...] l'esecuzione di un contratto» con i clienti dell'impresa acquirente (art. 13. cpv. 2 lett. a LPD). Ciò vale sia per i dati personali relativi ai clienti sia per i dati personali relativi ai collaboratori. Tuttavia, di regola, queste informazioni non possono essere trasmesse al potenziale cliente con riferimento alle persone interessate. Un simile modo d'agire, d'altronde, non sarebbe neppure nell'interesse del venditore, il quale dovrebbe mettere in conto che, qualora fallissero i negoziati per la fusione, il potenziale acquirente tenterebbe di strappargli i clienti o i collaboratori. Prima di una trasmissione di dati personali al (potenziale) acquirente è dunque necessario informare le persone interessate, così che abbiano la possibilità di opporvisi. In ogni caso il venditore deve badare affinché i potenziali acquirenti possano visionare soltanto i dati personali di cui hanno effettivamente bisogno.

Misure nel quadro della fase di assunzione

Nel quadro dell'assunzione delle parti dell'impresa occorre assolutamente assicurarsi che i dati personali consegnati continuino a essere trattati soltanto per lo scopo indicato all'atto della loro raccolta, risultante dalle circostanze o previsto da una legge (art. 4 cpv. 3 LPD). Perciò le imprese devono garantire che solamente le persone autorizzate abbiano accesso ai dati e che lo scopo di questi ultimi sia sempre rispettato. Si consiglia perciò di definire lo scopo di ogni raccolta di dati interna e di stabilire le possibilità di trattamento ammesse, così che non sorgano malintesi in seno all'impresa.

Raccomandazioni

Nella fase di preparazione e di conclusione del contratto

Per offrire alle persone interessate una sufficiente protezione dei dati anche nel quadro di una due diligence, l'IFPDT raccomanda le seguenti misure:

  1. nella scelta dei potenziali acquirenti ai quali si accorda l'accesso allo "Information Room" occorre assolutamente assicurarsi che vi vengano ammessi soltanto gli acquirenti e i loro consulenti che sono effettivamente interessati all'assunzione o alla fusione;
  2. le informazioni divulgate vanno sempre limitate alla misura indispensabile e giustificata sulla base della ponderazione degli interessi e, per quanto possibile, rese anonime o aggregate, così che non si possano collegare a una persona ben precisa;
  3. il volume dei dati personali messi a disposizione deve essere adeguato allo stadio della procedura, ossia possono essere divulgate tante più informazioni quanto più si avvicina la conclusione del contratto e quanto più cresce la certezza che l'affare vada in porto;
  4. solamente una ristretta cerchia di persone può avere accesso allo "Information Room". Queste persone devono impegnarsi per contratto, qualora i negoziati fallissero, a non utilizzare ulteriormente le informazioni e a distruggerle;
  5. ai potenziali acquirenti e ai loro consulenti non andrebbero consegnati dati personali. Il potenziale acquirente deve avere unicamente la possibilità di visionare sul posto i dati rilevanti (allestimento di un "Information Room");
  6. per ulteriore sicurezza, nel quadro della due diligence andrebbero impiegati Non Disclosure Agreements (NDA; accordi di non divulgazione o "lettere di segretezza") con relative clausole di protezione dei dati, mediante i quali i potenziali acquirenti e i loro consulenti si impegnano a rispettare la protezione dei dati. Offrendo una certa protezione, questi NDA tuttavia non eliminano completamente i rischi;
  7. specifiche prescrizioni legali in materia di segretezza (p.es. art. 35 LPD; art. 47 LBCR ecc.) devono essere assolutamente rispettate.

Nel quadro della fase di assunzione

Nel quadro della fase di assunzione, l'IFPDT raccomanda le seguenti misure:

  1. prima di essere utilizzate nella nuova impresa, le raccolte di dati dell'impresa acquisita vanno esaminate per vedere se lo scopo indicato o evidente al momento del rilevamento è in sintonia con il futuro trattamento dei dati previsto;
  2. l'accesso alle raccolte di dati di entrambe le imprese deve essere disciplinato in modo che ricevano un'autorizzazione soltanto i collaboratori che, in seno all'impresa concentrata, hanno effettivamente bisogno di tale autorizzazione;
  3. in caso di dubbio (quando non è chiaro se un trattamento di dati previsto è giuridicamente possibile) le persone interessate dovrebbero essere informate sul nuovo trattamento di dati dovuto alla fusione ed eventualmente se ne dovrebbe chiedere il consenso;
  4. specifiche prescrizioni legali in materia di segretezza (p.es. art. 35 LPD; art. 47 LBCR ecc.) devono essere assolutamente rispettate.

Ultima modifica in marzo 2010

https://www.edoeb.admin.ch/content/edoeb/it/home/protezione-dei-dati/handel-und-wirtschaft/imprese/comunicazione-dei-dati-nel-quadro-di-concentrazioni-di-imprese.html