Quando un’azienda cambia proprietà, anche la gestione dei dati personali deve cambiare?
Le operazioni straordinarie come una fusione, un’acquisizione o una cessione d’azienda rappresentano momenti delicati non soltanto dal punto di vista societario e fiscale, ma anche sotto il profilo della protezione dei dati personali. Molti imprenditori concentrano la propria attenzione sugli aspetti economici dell’operazione, trascurando invece gli obblighi previsti dal GDPR, con il rischio di commettere errori che possono esporre l’azienda a contestazioni e sanzioni.
Una delle domande che riceviamo più frequentemente riguarda proprio il destino delle informazioni raccolte negli anni: che fine fanno i dati dei clienti, dei dipendenti, dei fornitori e dei collaboratori quando cambia il proprietario dell’azienda? È possibile continuare a utilizzarli? Occorre richiedere un nuovo consenso? Bisogna aggiornare tutta la documentazione privacy?
La risposta non può essere uguale per ogni situazione. Il Regolamento (UE) 2016/679 non vieta il trasferimento dei dati personali nell’ambito di un’operazione societaria, ma impone che tale passaggio avvenga nel rispetto dei principi di liceità, correttezza, trasparenza, limitazione delle finalità e accountability. In altre parole, il cambio di proprietà dell’impresa non consente automaticamente di utilizzare qualsiasi informazione senza verificare che il trattamento continui ad avere una valida base giuridica e che gli interessati siano adeguatamente informati.
Per questo motivo, prima ancora di perfezionare l’operazione societaria, è opportuno verificare se la documentazione privacy sia aggiornata e conforme. In molti casi risulta necessario rivedere il registro dei trattamenti, aggiornare le informative e verificare l’individuazione del titolare del trattamento. Su questi aspetti abbiamo approfondito anche negli articoli Registro dei trattamenti: quando serve aggiornarlo, Come aggiornare correttamente la documentazione privacy aziendale e Titolare, responsabile e autorizzato al trattamento: differenze.
Comprendere fin dall’inizio quali siano gli adempimenti richiesti dal GDPR permette di gestire fusioni, acquisizioni e cessioni d’azienda in modo più sicuro, evitando criticità che potrebbero emergere anche molti mesi dopo il perfezionamento dell’operazione.
Quali obblighi privacy devono essere rispettati durante una fusione, un’acquisizione o una cessione d’azienda?
Quando un’azienda è coinvolta in una fusione, un’acquisizione o una cessione d’azienda, uno degli errori più frequenti consiste nel ritenere che il trasferimento dei dati personali avvenga automaticamente insieme ai beni aziendali. In realtà, sebbene tali operazioni possano comportare il passaggio di banche dati contenenti informazioni relative a clienti, dipendenti, fornitori e collaboratori, il GDPR impone che ogni trattamento continui a rispettare i principi di liceità, trasparenza e responsabilizzazione.
Il primo aspetto da verificare riguarda l’individuazione del titolare del trattamento. A seconda del tipo di operazione societaria, infatti, il soggetto che decide finalità e modalità del trattamento potrebbe cambiare oppure rimanere il medesimo. Comprendere chi assuma questo ruolo è fondamentale per stabilire gli obblighi informativi e organizzativi previsti dalla normativa. Per approfondire questo tema consigliamo la lettura dell’articolo Titolare, responsabile e autorizzato al trattamento: differenze.
Particolare attenzione deve essere dedicata anche alla documentazione privacy aziendale. Una modifica dell’assetto societario può rendere necessario aggiornare le informative privacy, il registro dei trattamenti, gli incarichi ai soggetti autorizzati, gli accordi con eventuali responsabili del trattamento e le procedure interne adottate dall’impresa. Trascurare questi aggiornamenti significa esporre la società a possibili contestazioni durante un controllo dell’Autorità Garante.
Per questo motivo è consigliabile effettuare una verifica completa della conformità GDPR già durante la fase di due diligence o comunque prima del perfezionamento dell’operazione. Un controllo preventivo permette di individuare eventuali criticità documentali e correggerle tempestivamente, evitando che vengano trasferite al nuovo assetto societario.
Può inoltre essere necessario aggiornare alcuni documenti fondamentali previsti dalla normativa. Abbiamo approfondito questi aspetti negli articoli Privacy aziendale: quali documenti sono obbligatori, Come aggiornare correttamente la documentazione privacy aziendale e Adeguamento GDPR aziendale: cosa deve fare un’impresa, nei quali analizziamo nel dettaglio gli adempimenti richiesti alle imprese.
Ogni operazione societaria presenta caratteristiche differenti e non esiste una soluzione valida per tutti i casi. Proprio per questo motivo è opportuno valutare preventivamente la struttura dell’operazione e verificare se il trasferimento dei dati personali sia pienamente conforme al GDPR, così da garantire continuità operativa senza compromettere i diritti degli interessati.
È possibile trasferire i dati di clienti, dipendenti e fornitori senza richiedere un nuovo consenso?
Uno dei dubbi più frequenti durante una fusione, un’acquisizione o una cessione d’azienda riguarda la possibilità di continuare a utilizzare i dati personali raccolti dall’impresa prima dell’operazione societaria. Molti imprenditori ritengono che sia necessario richiedere nuovamente il consenso a tutti i clienti oppure, al contrario, che il trasferimento dei dati avvenga automaticamente senza alcun adempimento. La realtà è più articolata e richiede una valutazione caso per caso.
Il GDPR non stabilisce che ogni cambio di proprietà comporti automaticamente la raccolta di un nuovo consenso. Occorre invece verificare quale sia la base giuridica che legittima il trattamento dei dati personali. Se il trattamento continua per le stesse finalità originarie e sussiste ancora una valida base giuridica, nella maggior parte dei casi non sarà necessario acquisire nuovamente il consenso degli interessati. Diverso è il caso in cui il nuovo titolare intenda utilizzare le informazioni per finalità differenti rispetto a quelle per cui erano state raccolte: in questa ipotesi potrebbe essere necessario adottare ulteriori adempimenti o, nei casi previsti dalla normativa, raccogliere un nuovo consenso.
Particolare attenzione deve essere prestata al database clienti, che rappresenta spesso uno degli asset di maggior valore durante una cessione o un’acquisizione aziendale. La presenza di un elenco clienti non significa automaticamente che ogni dato possa essere utilizzato senza limiti. È indispensabile verificare come tali informazioni siano state raccolte, quali informative siano state fornite agli interessati e per quali finalità fosse stato originariamente autorizzato il trattamento.
Lo stesso principio vale anche per i dati dei dipendenti, dei collaboratori e dei fornitori. Il loro trasferimento può risultare necessario per garantire la continuità dell’attività aziendale, ma il nuovo assetto societario dovrà comunque assicurare il rispetto di tutti gli obblighi previsti dal Regolamento europeo, aggiornando ove necessario le informative e gli altri documenti richiesti dalla normativa.
In molti casi, oltre al trasferimento dei dati, diventa opportuno verificare se sia necessario aggiornare l’informativa privacy, il registro dei trattamenti e la restante documentazione aziendale. Su questi aspetti abbiamo dedicato specifici approfondimenti negli articoli Informative privacy: cosa devono contenere, Registro dei trattamenti: quando serve aggiornarlo e Privacy aziendale: quali documenti sono obbligatori.
Valutare preventivamente questi aspetti consente di evitare contestazioni successive alla conclusione dell’operazione societaria e garantisce che il patrimonio informativo dell’impresa possa continuare a essere utilizzato nel pieno rispetto del GDPR, senza interrompere i rapporti con clienti, dipendenti e partner commerciali.
Esempio pratico: come gestire correttamente la privacy durante la cessione di un’azienda
Immaginiamo il caso di una società che opera nel settore della distribuzione alimentare e che, dopo molti anni di attività, venga acquisita da un’altra impresa. Tra gli elementi trasferiti figurano anche il database dei clienti, gli archivi contenenti i dati dei dipendenti, i contratti con i fornitori e la documentazione amministrativa necessaria per proseguire l’attività.
L’amministratore della società acquirente ritiene inizialmente che il semplice trasferimento dell’azienda gli consenta di utilizzare immediatamente tutte le informazioni ricevute. Prima di integrare i dati nei propri sistemi informatici, tuttavia, decide di richiedere una verifica legale sulla conformità dell’operazione al GDPR.
Durante l’analisi emerge che la documentazione privacy predisposta dalla società cedente non è più aggiornata. Alcune informative riportano ancora riferimenti non attuali, il registro dei trattamenti non riflette le attività realmente svolte e diversi contratti con i responsabili del trattamento devono essere rivisti alla luce della nuova organizzazione aziendale. Inoltre, vengono individuati alcuni trattamenti che richiedono specifiche valutazioni prima di poter essere proseguiti dal nuovo titolare.
Prima del completamento dell’integrazione vengono quindi aggiornate le informative privacy, revisionato il registro dei trattamenti, verificata la corretta individuazione del titolare del trattamento e adeguati gli accordi con i fornitori che trattano dati personali per conto dell’azienda. Vengono inoltre predisposte procedure interne per garantire la corretta gestione dei dati durante la fase di transizione.
Grazie a questa attività preventiva, l’operazione societaria può essere completata senza interrompere i rapporti con clienti e fornitori e senza esporre la nuova società a inutili rischi sotto il profilo della protezione dei dati personali. Un intervento tempestivo consente infatti di individuare eventuali criticità prima che possano trasformarsi in violazioni della normativa o in contestazioni da parte degli interessati.
Situazioni come questa sono molto più frequenti di quanto si possa immaginare. Per questo motivo consigliamo sempre di affiancare alla due diligence societaria anche una verifica della conformità privacy, così da accertare che documentazione, procedure e trattamenti siano realmente allineati al GDPR. Approfondiamo questi aspetti anche negli articoli Come evitare sanzioni privacy con una corretta documentazione e Privacy e linee guida del Garante: cosa devono sapere le aziende.
Domande frequenti sulla privacy nelle fusioni, acquisizioni e cessioni d’azienda
È necessario richiedere nuovamente il consenso ai clienti dopo una fusione o una cessione d’azienda?
Non sempre. La necessità di acquisire un nuovo consenso dipende dalla base giuridica che legittima il trattamento dei dati personali e dalle finalità per cui tali dati continueranno a essere utilizzati. Se il trattamento prosegue per le medesime finalità e sussistono le condizioni previste dal GDPR, nella maggior parte dei casi non sarà necessario raccogliere nuovamente il consenso. È comunque opportuno verificare attentamente ogni singola situazione prima di procedere.
Il nuovo proprietario può utilizzare il database clienti dell’azienda acquistata?
Sì, ma soltanto nel rispetto della normativa sulla protezione dei dati personali. Prima di utilizzare il database è fondamentale verificare come i dati siano stati raccolti, quali informative siano state fornite agli interessati e se le finalità del trattamento rimangano compatibili con quelle originarie. Una verifica preventiva evita contestazioni e riduce il rischio di violazioni del GDPR.
Quali documenti privacy devono essere aggiornati dopo un’acquisizione aziendale?
In base alle caratteristiche dell’operazione potrebbe essere necessario aggiornare il registro dei trattamenti, le informative privacy, gli accordi con i responsabili del trattamento, le procedure interne e gli altri documenti previsti dalla normativa. Una revisione completa della documentazione consente di mantenere la piena conformità al GDPR anche dopo il cambio di proprietà.
I dati dei dipendenti vengono trasferiti automaticamente?
I dati dei dipendenti possono essere trasferiti quando ciò è necessario per garantire la continuità del rapporto di lavoro e dell’attività aziendale. Tuttavia il nuovo titolare del trattamento dovrà continuare a gestire tali informazioni nel rispetto dei principi previsti dal GDPR, assicurando trasparenza, sicurezza e corretto aggiornamento della documentazione privacy.
Quando è consigliabile effettuare una verifica privacy durante un’operazione societaria?
La soluzione migliore consiste nell’effettuare una verifica già durante la fase di due diligence o comunque prima della conclusione della fusione, dell’acquisizione o della cessione d’azienda. In questo modo è possibile individuare eventuali criticità, aggiornare la documentazione necessaria e ridurre significativamente il rischio di sanzioni o contestazioni successive.
Affidati allo Studio Legale Calvello per gestire correttamente la privacy nelle operazioni societarie
Una fusione, un’acquisizione o una cessione d’azienda non comportano soltanto valutazioni economiche, fiscali e contrattuali. Anche la corretta gestione dei dati personali rappresenta un aspetto fondamentale per evitare violazioni del GDPR, contestazioni da parte degli interessati e possibili sanzioni amministrative.
Un controllo preventivo consente di verificare se il trasferimento dei dati personali avvenga nel rispetto della normativa, se la documentazione privacy sia aggiornata e se il nuovo assetto societario possa proseguire i trattamenti senza esporsi a rischi evitabili. Intervenire prima della conclusione dell’operazione è quasi sempre più semplice, meno costoso e più efficace rispetto a dover correggere eventuali irregolarità successivamente.
Lo Studio Legale Calvello, da oltre 25 anni al fianco di imprese, professionisti e società, assiste i propri clienti nella verifica della conformità al GDPR durante fusioni, acquisizioni, incorporazioni e cessioni d’azienda. Analizziamo la documentazione esistente, individuiamo le eventuali criticità e predisponiamo tutti gli aggiornamenti necessari affinché il trasferimento dei dati personali avvenga nel pieno rispetto della normativa vigente.
Se la tua azienda sta affrontando un’operazione straordinaria oppure desideri verificare che la gestione dei dati personali sia conforme al GDPR, puoi contattare il nostro Studio per ricevere una consulenza personalizzata. Valuteremo la tua situazione specifica e individueremo la soluzione più adatta per proteggere il patrimonio informativo della tua impresa e ridurre al minimo il rischio di contestazioni future.
Per richiedere una consulenza puoi visitare la pagina Consulenza Studio Legale. Se desideri approfondire gli obblighi previsti dalla normativa, ti consigliamo anche la lettura degli articoli Adeguamento GDPR aziendale: cosa deve fare un’impresa, Privacy aziendale: quali documenti sono obbligatori e Come evitare sanzioni privacy con una corretta documentazione.



