M&A, App mobile e compliance GDPR: le recenti indicazioni del Garante per le imprese

Recentemente il Garante per la privacy con il provvedimento n. 348 del 20 ottobre u.s. (doc. web n. 9825667) ha sanzionato (1 milione e 400 mila euro) una catena internazionale di profumerie per aver violato il GDPR. Interessanti – tra i vari aspetti oggetto di attenzione da parte dell’Autorità – sono le valutazioni formulate in termini di “accountability” nelle operazioni di M&A e sicurezza “by design” delle app aziendali che i titolari del trattamento devono attentamente considerare. Nel dettaglio:

  • operazioni di M&A: nelle operazioni di fusione per incorporazione, bisogna essere in grado di comprovare come gli adempimenti dell’informativa e del consenso marketing siano stati assolti correttamente al tempo dalle società acquisite, in osservanza al principio di “accountability”;
  • raccolta dei dati tramite app: occorre distinguere i contenuti dell’informativa privacy da quelli dell’informativa dedicata ai cookie (e dei rispettivi consensi) e differenziare tali informative dai termini contrattuali;
  • informativa ai clienti: nell’informativa devono essere indicati solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite;
  • consensi GDPR: agli utenti deve essere consentito di esprimere un consenso libero e specifico per le diverse attività (marketing diretto, marketing di soggetti terzi e profilazione).

.

Ecco che, quindi, i rilievi suindicati conducono inevitabilmente a soffermare l’attenzione sull’obbligo per tutte le imprese, da un lato, di compiere puntuali verifiche di “due diligence” GDPR nel contesto delle operazioni di M&A che implicano l’acquisizione di banche dati e, dall’altro, di mettere in atto adeguate misure tecniche e organizzative nelle modalità di progettazione e di configurazione dei siti web e delle app.

.

Leggi il documento completo