La recente decisione della Corte Costituzionale sottolinea l’importanza della protezione dei dati nelle transazioni di M&A
Nel panorama imprenditoriale contemporaneo della Turchia, il ruolo delle politiche che regolano la protezione dei dati nelle transazioni di M&A ha acquisito un'importanza senza precedenti, soprattutto nel campo delle fusioni e acquisizioni (M&A). Questa accresciuta importanza è alimentata dalla crescente tendenza delle società straniere ad entrare nel mercato turco attraverso acquisizioni.
Queste transazioni, che spesso comportano trasferimenti e integrazioni di dati complessi, pongono la protezione dei dati in prima linea nelle considerazioni strategiche. La gestione efficace delle preoccupazioni relative alla protezione dei dati diventa cruciale, non solo come requisito di conformità, ma come fattore fondamentale che influenza il successo complessivo e la legalità delle transazioni di M&A.
L’impennata delle attività di M&A in Turchia, con il suo panorama giuridico e culturale unico, presenta diverse sfide e opportunità. Il trasferimento e l’integrazione di dati sensibili, che spesso superano i confini nazionali, richiedono una comprensione articolata delle leggi locali e internazionali sulla protezione dei dati.
Come evidenziato anche in un recente caso della Corte Costituzionale, ciò è particolarmente critico considerando i potenziali rischi e responsabilità che potrebbero derivare dalla non conformità o dalla violazione dei dati. In questo contesto, le operazioni di M&A non sono solo decisioni finanziarie o strategiche, ma implicano anche un’attenta considerazione della privacy e della sicurezza dei dati, rendendole determinanti chiave nella valutazione e nel successo di tali operazioni.
I. Legislazione e norme sulla protezione dei dati in Turchia
In Turchia, la chiave di volta della legislazione sulla protezione dei dati è la Legge sulla protezione dei dati personali n. 6698 (LPDP), che ha istituito un quadro completo per il trattamento dei dati personali. L’LPDP ha rappresentato un passo significativo verso l’allineamento della legge turca agli standard internazionali sulla protezione dei dati, in particolare al Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea. Le disposizioni chiave della LPDP includono l’obbligo del consenso esplicito per il trattamento dei dati, i diritti degli interessati e gli obblighi dei titolari e dei responsabili del trattamento dei dati.
Secondo la LPDP, sia i trasferimenti di dati nazionali che quelli transfrontalieri richiedono in genere il previo consenso esplicito del proprietario dei dati. Tuttavia, la LPDP prevede eccezioni a questo requisito, applicabili ai dati personali e ai dati personali di carattere particolare, come delineato rispettivamente negli articoli 5/2 e 6/3. Per quanto riguarda i dati personali, l'articolo 5/2 consente il trattamento e il trasferimento a terzi senza consenso esplicito nei casi:
- Obbligato o richiesto dalla legge,
- Necessario per tutelare la vita o l’integrità fisica di una persona incapace di prestare il consenso,
- Essenziale per l’esecuzione dei servizi previsti da un contratto,
- Necessario affinché il titolare del trattamento possa adempiere ai propri obblighi di legge,
- Divulgato pubblicamente dal proprietario dei dati,
- Ritenuto obbligatorio per stabilire, esercitare o salvaguardare i diritti, o
- Necessario per il legittimo interesse del titolare del trattamento, a condizione che non violi i diritti e le libertà fondamentali del titolare dei dati.
Comprendere queste regole è fondamentale per le entità coinvolte in transazioni di M&A, poiché la conformità alla protezione dei dati diventa una componente fondamentale del processo di due diligence. Il mancato rispetto della LPDP può comportare significative ripercussioni legali e finanziarie, sottolineando l’importanza di una comprensione approfondita e dell’attuazione di questi principi in tutte le attività aziendali che coinvolgono dati personali.
Per informazioni più dettagliate sulla LPDP e sui principi di liceità del trattamento dei dati è possibile fare riferimento agli articoli di ASY Legal su Protezione dei dati personali in Turchia e 8 Principi per il trattamento lecito dei dati personali.
2. Importanza della protezione dei dati nelle transazioni di M&A
Una delle sfide cruciali nelle transazioni di M&A è la protezione dei dati nelle data room, che sono essenziali per i processi di due diligence. A questi spazi virtuali, in cui le informazioni aziendali sensibili vengono archiviate e condivise, sono spesso accessibili terze parti, come potenziali acquirenti e consulenti legali. Questa accessibilità rappresenta un rischio sostanziale per le violazioni dei dati, rendendo fondamentale la sicurezza di queste data room.
Oltre ai rischi durante la fase di due diligence, la natura stessa delle operazioni di M&A, che comportano il trasferimento della proprietà e del controllo delle società, implica intrinsecamente il trasferimento di dati. Questo trasferimento solleva notevoli preoccupazioni sulla privacy dei dati, poiché i dati raccolti e controllati da un'entità (la società target) passano a un'altra (la società acquirente). Garantire che questa transizione rispetti le leggi sulla protezione dei dati, soprattutto quando si tratta di dati personali, è un aspetto complesso e vitale della transazione.
Inoltre, durante la fase di integrazione post-M&A, è fondamentale allineare le politiche di protezione dei dati delle entità partecipanti alla fusione. L’azienda acquirente non deve solo comprendere le pratiche di protezione dei dati dell’azienda target, ma anche integrare perfettamente tali pratiche nel quadro esistente. Questa integrazione comporta la riconciliazione delle differenze nei protocolli di gestione, archiviazione ed elaborazione dei dati, garantendo la continua conformità con LPDP e altre normative pertinenti sulla protezione dei dati.
Le fusioni transfrontaliere aggiungono un ulteriore livello di complessità. L'LPDP in Turchia affronta i trasferimenti transfrontalieri di dati richiedendo il consenso esplicito tranne che a determinate condizioni. Tuttavia, una sfida significativa è rappresentata dalla mancanza di un elenco definitivo da parte del Data Protection Board (DPB) dei paesi che si ritiene abbiano misure di protezione dei dati sufficienti.
Questa assenza significa che le esenzioni normalmente consentite dall'articolo 9/2 della LPDP non sono applicabili, compresi i paesi soggetti alla Regolamento generale sulla protezione dei dati (GDPR), complicando i trasferimenti transfrontalieri di dati. Per ulteriori informazioni, consultare i nostri articoli precedenti su questo argomento qui.
3. Un recente caso della Corte Costituzionale evidenzia l'importanza della dovuta diligenza
Nell’ambito delle fusioni e acquisizioni, l’importanza di un’accurata due diligence non può essere sopravvalutata, in particolare quando la società target appartiene a un gruppo di dati ad alto rischio. Queste aziende, come hotel, agenzie turistiche e ospedali, trattano grandi quantità di dati personali e sono soggette a violazioni dei dati e legali. Le implicazioni di tali violazioni diventano particolarmente critiche nelle transazioni di fusione e acquisizione, poiché potrebbero non essere state precedentemente rilevate dal Comitato per la protezione dei dati. Questa supervisione può portare a sostanziali sfide post-acquisizione, in cui il nuovo proprietario potrebbe dover affrontare sanzioni amministrative per le azioni del predecessore.
Un caso pertinente che illustra questi rischi riguarda l’esperienza di una catena alberghiera globale in Turchia. Il caso, giudicato dalla Corte Costituzionale turca, evidenzia le complessità e le implicazioni legali di tali scenari.
UN. La panoramica del caso & Sfondo
Quella della Corte Costituzionale decisione, del 12.10.2023 (numerato 2020/7518), pubblicato sulla Gazzetta Ufficiale il 15.12.2023, verteva su una sanzione amministrativa inflitta dal Garante per la Protezione dei Dati (DPA) ad una catena alberghiera mondiale. La DPA ha sanzionato la catena per non aver garantito la sicurezza dei dati, violando di conseguenza i diritti di proprietà dell’azienda.
Il problema è nato l'08.09.2018, quando è stata rilevata una violazione dei dati nel database delle prenotazioni degli ospiti di un'azienda acquisita nel 2016. Questa violazione, che ha interessato i dati personali di 500 milioni di clienti, non è stata rilevata da quando è iniziato l’accesso non autorizzato nel luglio 2014. Il nuovo proprietario della catena alberghiera ha segnalato la violazione alla DPA nel 2019, poiché aveva colpito cittadini turchi.
B. La decisione della DPA e la sanzione
Dopo un'attenta valutazione, la DPA ha deciso di imporre alla catena alberghiera una multa per un totale di 1,450,000 TRY. Ciò comprendeva 1,100,000 di TRY per la mancata protezione dei dati come richiesto dall'articolo 12/1 della legge sulla protezione dei dati personali (PDPL) e 350,000 TRY per la notifica ritardata della violazione (articolo 12/5 della PDPL). La DPA ha trascurato l’argomentazione della catena alberghiera secondo cui la violazione era anteriore all’acquisizione, non considerando quindi la società acquisita come titolare del trattamento dei dati.
C. Contestazioni legali e decisioni giudiziarie
La catena alberghiera ha contestato tale sanzione, adducendo diversi punti tra cui l’errata applicazione della PDPL, l’insufficiente notifica della decisione del DPA e l’irrogazione della sanzione nella soglia massima. Tuttavia, la loro tesi centrale era che le violazioni si fossero verificate prima dell’acquisizione e durante il mandato del precedente proprietario.
Di conseguenza, hanno sostenuto che tali sanzioni dovrebbero essere irrogate al responsabile al momento della violazione, in ragione del principio dell'individualità delle sanzioni. La catena alberghiera ha inoltre sostenuto di non aver tardato a segnalare la violazione alla DPA, in quanto non esistono durate o limiti di tempo definiti per tale segnalazione e dichiarazioni riportate nell'LPDP.
La prima Corte penale di pace anatolica di Istanbul e successivamente la seconda Corte penale di pace anatolica di Istanbul hanno esaminato il ricorso e hanno respinto tali obiezioni, confermando la decisione della DPA. Tuttavia, i tribunali non hanno motivato adeguatamente le loro sentenze e non hanno nemmeno fornito alcuna giustificazione per cui il ricorso è stato respinto.
D. La sentenza della Corte Costituzionale
Il caso è stato successivamente deferito alla Corte Costituzionale dalla catena alberghiera. La Corte Costituzionale, nel corso della sua revisione, ha sottolineato il diritto di proprietà, la necessità di interventi proporzionati su tali diritti e la necessità di sentenze dettagliate con motivazione del motivo per cui una decisione specifica viene emessa dai tribunali competenti. La Corte Costituzionale, pertanto, ha ritenuto che la mancanza di un’adeguata valutazione delle pretese della catena avverso la decisione della DPA costituisse una violazione di tale diritto. La Corte ha chiesto un nuovo processo, sottolineando la necessità di un efficace controllo giurisdizionale delle decisioni della DPA.
e. Implicazioni future sulla protezione dei dati nelle transazioni di M&A
Questo caso evidenzia il ruolo cruciale di un efficace controllo giurisdizionale nelle decisioni relative alle sanzioni amministrative relative alla protezione dei dati. La decisione sostiene le critiche di lunga data sull'inadeguatezza dei tribunali penali di pace nella gestione di tali questioni, sostenendo invece il coinvolgimento dei tribunali amministrativi.
Tuttavia, è importante notare qui che la decisione della Corte Costituzionale non significa che la sanzione amministrativa emessa dalla DPA fosse illegittima, poiché la Corte ritiene effettivamente che la sanzione rientri nei parametri di legge. La Corte ha invece accolto il ricorso sulla base dell'insufficienza delle motivazioni e delle sentenze emesse dai giudici di primo grado.
Le implicazioni di questa sentenza per le operazioni di M&A sono profonde e di vasta portata. Poiché la Corte Costituzionale ha effettivamente ritenuto che le sanzioni comminate dalla DPA rientrino nei limiti della legge, la decisione accentua l’importanza fondamentale di una meticolosa due diligence nella valutazione delle pratiche di protezione dei dati delle società prese di mira. Ciò è particolarmente fondamentale per le aziende che fanno parte di gruppi di dati ad alto rischio, dove potenziali violazioni possono avere conseguenze legali e finanziarie significative.
Le ingenti multe imposte in questo caso servono a ricordare chiaramente le ripercussioni che potrebbero derivarne. Pertanto, gli acquirenti sono obbligati a valutare rigorosamente le misure di sicurezza dei dati dei potenziali obiettivi di acquisizione. Ciò non solo aiuta a mitigare i rischi, ma garantisce anche il rigoroso rispetto delle leggi sulla protezione dei dati, salvaguardando l’acquirente da potenziali responsabilità e multe.
4. Sanzioni amministrative per violazioni della protezione dei dati
Il recente caso della Corte Costituzionale mostra il ruolo significativo che svolgono le sanzioni amministrative nelle violazioni della protezione dei dati, che possono arrivare fino a 10.000.000 di TRY, a seconda della natura della violazione. L’Autorità Garante per la Protezione dei Dati ha un potere discrezionale nel determinare l’importo esatto di tali sanzioni, tenendo conto di fattori quali le specificità di ciascun caso, la natura della violazione e la condizione economica dell’autore del reato, il che rende estremamente difficile contestare e revocare.
Per le transazioni di M&A, è fondamentale essere consapevoli che il mancato rispetto delle normative sulla protezione dei dati può comportare sanzioni salate. In alcuni casi, tali sanzioni possono superare i 3 milioni di TRY per violazione o non conformità. Ciò sottolinea l’importanza di garantire che l’azienda target aderisca rigorosamente alle leggi sulla protezione dei dati per evitare tali sanzioni.
Le sanzioni amministrative sono soggette a contestazioni legali e recenti sentenze della Corte suggeriscono che alcune sanzioni imposte dalla DPA potrebbero non considerare adeguatamente la natura delle violazioni o le condizioni economiche dei titolari/responsabili del trattamento dei dati. Di conseguenza, vi è una crescente enfasi sulla necessità di imporre sanzioni eque e proporzionate, garantendo che riflettano le specificità di ciascun caso. Come evidenziato nella precedente revisione del caso, contestare queste sanzioni può essere un processo lungo. Anche se una multa viene contestata in tribunale, l’entità sanzionata deve inizialmente pagare e attendere la sentenza del tribunale per un eventuale rimborso, il che presenta sfide significative.
5. Garantire la conformità durante e dopo le transazioni di M&A
A causa dei rischi connessi, garantire il rispetto delle leggi sulla protezione dei dati durante e dopo fusioni e acquisizioni (M&A) è fondamentale per evitare potenziali sanzioni amministrative e problemi legali. Ciò implica diverse strategie chiave:
- Due Diligence rigorosa: condurre controlli approfonditi sulle politiche e sulle pratiche di protezione dei dati della società target. Ciò include la revisione della cronologia di conformità, delle procedure di gestione dei dati e di eventuali violazioni dei dati passate o questioni legali relative alla protezione dei dati.
- Controlli completi dei dati: valutare i dati trasferiti durante il processo di fusione e acquisizione per identificare eventuali dati sensibili o regolamentati, garantendo che siano gestiti in conformità con i requisiti legali.
- Istruzione e formazione dei dipendenti: Istruire e formare tutti gli individui che avranno accesso a dati sensibili sulla corretta gestione dei dati e sulle procedure di conformità. Questo passaggio è fondamentale per prevenire violazioni o non conformità accidentali.
- Implementazione di solide politiche di protezione dei dati: sviluppare e attuare solide politiche di protezione dei dati in linea con gli attuali standard legali. Queste politiche dovrebbero essere chiaramente comunicate e applicate in tutta l’entità risultante dalla fusione.
- Revisioni regolari della conformità: dopo la fusione, rivedere e aggiornare regolarmente le pratiche di protezione dei dati per garantire la conformità continua. Ciò include il monitoraggio dei cambiamenti nelle leggi sulla protezione dei dati e l’adeguamento delle politiche di conseguenza.
- Coinvolgimento con esperti di protezione dei dati: collaborare con esperti legali o responsabili della protezione dei dati per fornire guida e supporto continui nel mantenimento della conformità.
Questi passaggi aiutano a ridurre al minimo i rischi associati alla non conformità della protezione dei dati e garantiscono una transizione graduale durante e dopo il processo di fusione e acquisizione.
Avv. Ali Yurtsever