La questione del trattamento dei dati personali è fondamentale per ogni azienda, anche in caso di operazioni complesse come fusioni o cessioni. In questi casi, oltre agli asset, vengono cedute anche le posizioni giuridiche, compresi i consensi al trattamento dei dati personali dei clienti, fornitori, consulenti e dipendenti. Questo comporta un cambiamento del titolare del trattamento dei dati personali, il che rende obbligatorio per il nuovo titolare svolgere almeno due attività verso gli interessati: comunicare il nuovo soggetto che tratterà i dati personali e indicare i nuovi dati di contatto per l’esercizio dei diritti degli interessati.

Prima ancora di acquisire la società “target”, il soggetto acquirente dovrà svolgere, nell’ambito della due diligence, una serie di informazioni ed evitare che ad operazione conclusa ci siano asimmetrie tra i sistemi di gestione delle due società. In questa fase, la società target fornirà tutte le informazioni utili a far comprendere il flusso dei dati personali all’interno della società target e i trattamenti di dati effettuati.   

A valle di ciò, saranno oggetto di analisi: 

  • La documentazione del Modello Organizzativo “Privacy”, che conterrà anche le informative, consensi, nomine dei responsabili esterni e policy interne); 
  • Le procedure per gestire le richieste degli interessati;
  • Le procedure per gestire violazioni e incidenti che riguardano la protezione dei dati.

Se il nuovo soggetto svolge la stessa attività di quello che aveva ottenuto il consenso in precedenza e non esegue altre attività di trattamento, le attività di comunicazione e informazione sopracitate sono sufficienti. Tuttavia, se il nuovo soggetto intende utilizzare i dati per altre tipologie di trattamento, anche solo ai fini di una mailing list, si rende necessaria la prestazione di un nuovo e specifico consenso.

Effettuata l’acquisizione, si provvederà:

  1. A fornire agli interessati un’informativa aggiornata ai sensi dell’art. 14 GDPR, con indicati le informazioni nuove: nominativo e dati di contatto del nuovo titolare del trattamento e del DPO nonché modalità di esercizio dei diritti da parte dell’interessato.
  2. Se risultante dall’analisi, avviare il necessario per l’ottenimento del consenso dell’interessato, ove non sia possibile utilizzare il consenso fornito alla società acquisita o si intenda utilizzare i dati per finalità nuove/diverse;
  3. Aggiornare il registro dei trattamenti;
  4. Nuova DPIA se previsto;
  5. Aggiornamento e/o implementazione di nuove misure di sicurezza tecniche ed organizzative.

L’art. 14 del GDPR impone tempi molto stretti per poter utilizzare i dati personali, rendendo difficile fornire informazioni adeguati in breve tempo. Tuttavia, è possibile avvalersi della facoltà di pubblicare la notizia sulle pagine web dell’azienda e di effettuare una comunicazione individuale solo se le comunicazioni individuali richiedessero un impegno e costi sproporzionati rispetto al diritto tutelato.

In ogni caso, il nuovo titolare del trattamento deve iscrivere le operazioni nel registro dei trattamenti, eseguire una valutazione di impatto e accertarsi che il precedente titolare fosse in regola con la normativa. Questi sono atti assolutamente necessari per ogni azienda che acquisisce una nuova attività.

Il trattamento dei dati personali è una questione delicata e complessa. Lascia che i nostri esperti ti guidino attraverso il processo di compliance GDPR. Contattaci oggi!

    Lascia qui il tuo messaggio

    Il Tuo Nome*

    Lascia la tua Email*

    Lascia qui il tuo telefono

    * campo obbligatorio

    Come ci hai conosciuto?


    Leave a Reply

    Your email address will not be published.