Dimenticarsi di alcune di alcune regole può costare caro

 

Nel 2016 il colosso Marriott International ha acquisito Starwood sborsando più di 13 miliardi di dollari. Qualche tempo dopo si è scoperto che la società acquisita aveva subito, senza saperlo, un incidente informatico che aveva compromesso i dati personali di milioni di clienti.

Come conseguenza l’acquirente ha dovuto sopportare cause milionarie, risarcimenti notevoli e sanzioni salate.

Le procedure cc.dd. di merger & acquisition, di vendita o acquisto di società, di trasferimento di aziende intere o anche di sole quote sociali, comportano una serie di conseguenze che bisogna conoscere.

Fino a qualche tempo fa le analisi pre – operazioni venivano condotte con due diligence che si limitavano a esaminare la struttura e la governance della società target, la situazione economica, contabile, finanziaria, i rapporti contrattuali, i contenziosi in corso o quelli possibili, alcuni aspetti di compliance (soprattutto la 231, le questioni ambientali o l’antitrust).

Da qualche tempo è più che opportuno valutare attentamente anche altri elementi, come per esempio il rispetto della normativa privacy, la quale pure potrebbe essere fonte di eventuali provvedimenti sanzionatori laddove vi fossero trattamenti non adeguati, ma anche la cyber security, ossia la valutazione dei sistemi di sicurezza informatici della società target, posti in essere a difesa degli asset informativi, spesso primari, di una organizzazione.

Allorché si intenda acquisire una diversa realtà, quindi, è più che opportuno non solo verificare l’attuale assetto di compliance data protection, ma anche analizzare le concrete misure tecnologiche adottate dall’azienda oggetto del deal: un approccio basato sul rischio e sulla valutazione delle possibili minacce, ma anche sulle vulnerabilità dell’azienda target, aiuterà ad avere le idee più chiare o, quanto meno, a mitigare eventuali brutte conseguenze.

Da un altro punto di vista potrebbe essere opportuno ottenere specifiche garanzie che prevedano eventuali indennizzi in caso di di futuri problemi, così come della scoperta di dichiarazioni non conformi alla realtà della venditrice.

Come sempre: pensarci prima è meglio!

 

#privacy #dataprotection #compliance #m&a