ARGOMENTO:

Buongiorno dott.Ciaccia e grazie per aver condiviso la sua esperienza.
A tal proposito volevo approfondire il tema da lei toccato di due diligence - protezione dei dati - durante operazioni finanziarie. Nel mio contesto lavorativo,infatti, a breve assisteremo alla fusione di due grandi società che trattano dati personali per un numero elevato di clienti. In tale situazione a chi compete effettuare la due diligence e soprattutto come effettuarla rispettando i principi per la protezioni dei dati dei clienti trattati dalle rispettive società? È sufficiente che ciascuna società adegui l' informativa della propria clientela e comunichi agli interessati che i proprio dati saranno oggetto di operazione di fusione? Grazie a tutti. Manuela Torresi

La mia esperienza mi ha visto gestire una cessione di ramo d’azienda che sarebbe andata in porto solo quando il cessionario avesse eseguito la sua due diligence. Per la somministrazione dell’informativa non appena chiuso il contratto di cessione ho implementato un documento dove informavo i clienti della cessione e il che per effetto di quest’ultima anche i loro dati erano stati ceduti . Nel documento ho specificando il nome del cessionario e i dati di contatto. Lato cessionario ho suggerito di implementare l’Informativa ai sensi art 13 e 14 specifica da rendere ai soggetti ceduti .

Questa la mia esperienza

Buongiorno,
nell'informativa resa ai dipendenti da me predisposta, alla sezione "Comunicazione a terzi e categorie dei destinatari" figurano tra i possibili destinatari: "Soggetti formalmente delegati o aventi titolo giuridico riconosciuto, quali rappresentanti legali, curatori, tutori etc". Mi domando se questa definizione sia sufficiente a ricomprendere il caso in esame, o sia consigliabile formularla diversamente.

Buongiorno,
ringrazio il dr. Marini e la dr.ssa Torresi per i contributi e gli stimoli.
Dunque si prefigurerebbe una fattispecie in cui:
- seller e buyer sarebbero autonomi titolari del trattamento;
- i due autonomi titolari agirebbero sulla base giuridica di un legittimo interesse;
- entrambi dovrebbero costruire un impianto di accountability dell'operazione tale da tutelare i diritti e le libertà degli interessati, congiuntamente ai tempi di consegna agli interessati delle Informative (tenuto conto di eventuali ragioni di segretezza ma anche delle norme sui tempi di consegna dell'Informativa per dati trasmessi e/o ricevuti da terzi).
L'ultimo punto è quello che più mi pare richieda molta attenzione ed equilibrio, e qualche difficoltà.
Ovviamente altri commenti sono graditi.
Grazie a tutti.

Buongiorno,
ringrazio il dr. Marini e la dr.ssa Torresi per i contributi e gli stimoli.
Dunque si prefigurerebbe una fattispecie in cui:
- seller e buyer sarebbero autonomi titolari del trattamento;
- i due autonomi titolari agirebbero sulla base giuridica di un legittimo interesse;
- entrambi dovrebbero costruire un impianto di accountability dell'operazione tale da tutelare i diritti e le libertà degli interessati, congiuntamente ai tempi di consegna agli interessati delle Informative (tenuto conto di eventuali ragioni di segretezza ma anche delle norme sui tempi di consegna dell'Informativa per dati trasmessi e/o ricevuti da terzi).
L'ultimo punto è quello che più mi pare richieda molta attenzione ed equilibrio, e qualche difficoltà.
Ovviamente altri commenti sono graditi.
Grazie a tutti.

Gentile dott. Marini,
grazie per la precedente risposta precisa e puntuale. A tale riguardo avrei comunque necessità di un ulteriore chiarimento in merito. Nell' attività di due diligence si svolgono come ben noto attività di consultazione e comunicazione dei dati: in quanto tali possono essere considerati come dei veri e propri" trattamenti" secondo anche quanto disposto dall' art 4 del GDPR? In caso affermativo quale è la base giuridica costituente i due trattamenti? È plausibile considerare l' interesse legittimo , tanto della società target che del potenziale acquirente, alla conclusione dell’affare.? Da questo punto di vista credo sia evidente l’interesse di entrambi a, rispettivamente, dare ed avere accesso a dati personali, quali in particolare quelli dei dipendenti, nella misura in cui questi siano necessari a consentire alle parti di comprendere rischi e opportunità dell’operazione.
Grazie,
Manuela Torresi