Acquisto di una biobanca e dati sensibili: quando serve il consenso

Secondo una sentenza del tribunale di Cagliari non è necessario acquisire una nuova manifestazione del consenso da parte dei soggetti interessati. Alcuni suggerimenti nel contesto delle operazioni di m&a

Per la prima volta in Italia, i giudici hanno riconosciuto che, in caso di mutamento del titolare del trattamento di dati sensibili, non è necessario acquisire una nuova manifestazione del consenso da parte dei soggetti interessati se è dimostrato che le finalità del trattamento condotto dal nuovo titolare sono compatibili con quelle per le quali il consenso è stato originariamente prestato.
La decisione senza precedenti è stata adottata in occasione della cessione di una banca dati genetica impiegata in un progetto di ricerca su malattie complesse, sicché essa risulta di particolare rilievo per quelle operazioni di m&a nelle quali si realizza (per esempio attraverso fusioni o cessioni di azienda) il trasferimento ad un diverso soggetto di raccolte di dati sensibili, quali appunto le biobanche o database analoghi.
Pertanto, potrebbe essere interesse delle parti coinvolte nell’operazione disciplinare specificamente nel contratto l’utilizzo della banca dati, il trasferimento e la conseguente variazione del soggetto giuridico titolare del trattamento dati in essa contenuti. L’obiettivo sarebbe quello di evitare che l’Autorità garante per la protezione dei dati personali (il “Garante”) impedisca l’utilizzo dei dati sensibili acquisiti fintantoché tutti i soggetti interessati non rilascino un nuovo consenso informato all’acquirente, il che potrebbe rilevarsi estremamente oneroso – se non impossibile – da ottenere come nel caso di biobanche contenenti dati genetici di migliaia di individui.

Il caso
La decisione in commento è stata adottata dal tribunale di Cagliari all’esito di una causa promossa dalla società Tiziana Life Sciences contro un provvedimento emanato dal Garante, che le imponeva di astenersi da qualsiasi trattamento dei dati sensibili contenuti in una biobanca da essa acquistata nel contesto di una cessione di azienda.
Nel caso di specie, Tiziana Life Sciences aveva acquistato dal fallimento della società Shar Dna in liquidazione un complesso aziendale comprendente 230 mila campioni biologici e dati genetici estratti da circa 11.700 individui appartenenti ad una piccola comunità dell’Ogliastra (Sardegna). Questa comunità è rimasta isolata per molti anni, sviluppando un’eccezionale omogeneità genetica e permettendo di ricostruire tracce genetiche comuni in quasi tutti i donatori risalendo fino al 1600, e ha registrato altresì il secondo indice di longevità più alto al mondo. Per tali caratteristiche, questa biobanca rappresenta un campione unico per lo studio genetico di quasi tutte le malattie, comprese quelle tumorali e immunologiche.
Il Garante ha rinvenuto nell’utilizzo della biobanca di Shar Dna da parte di Tiziana Life Sciences una violazione delle norme di legge sul trattamento dati, emanando per l’appunto il provvedimento d’urgenza che ha imposto il blocco immediato dell’utilizzo dei dati ivi contenuti. Tuttavia, all’esito del giudizio, il tribunale ha ribaltato le conclusioni del Garante ed ha annullato il provvedimento impugnato, riscontrando l’assenza di responsabilità in capo a Tiziana Life Sciences. Nello specifico, i giudici non hanno ritenuto necessario che la ricorrente acquisisse un nuovo consenso per lo svolgimento del proprio programma di ricerca, dal momento che le finalità del programma risultavano direttamente collegate a quelle per le quali il consenso era stato originariamente richiesto.
Diversamente, continuano i giudici, ancorare la necessità di un nuovo consenso al mero dato formale del mutamento del soggetto titolare potrebbe portare ad esiti contraddittori, laddove non si tenga conto – ad esempio – dei casi in cui il medesimo titolare del trattamento muti i suoi scopi senza mutare la sua soggettività. In concreto, ciò sarebbe accaduto se Tiziana Life Sciences avesse acquistato le quote di maggioranza di Shar Dna invece che acquistarne l’azienda dal fallimento.
Quanto sopra si pone in contrasto alla posizione del Garante, che nel caso in commento ha ritenuto necessaria una nuova manifestazione di consenso informato, nonostante Tiziana Life Sciences avesse garantito il perseguimento delle medesime finalità per le quali il consenso era stato prestato sin dal principio, imponendole un onere esorbitante rispetto alla finalità ultima di tutela dei soggetti interessati.

L’operazione M&A
Se in una cessione di azienda la presenza di un archivio di dati sensibili è elemento centrale per la conclusione dell’operazione, diventa prioritario per l’acquirente assicurarsi che il Garante non impedisca l’utilizzo dei dati o imponga sanzioni pecuniarie per la violazione di norme sul trattamento dati.
Sulla scorta di quanto stabilito dal Tribunale di Cagliari, sarebbe opportuno adottare alcuni accorgimenti contrattuali al fine di ridurre simili rischi per l’acquirente, come ad esempio: (i) chiarire nelle premesse del contratto che la ragione principale dell’acquisto dell’azienda del venditore è l’acquisizione della banca dati al fine di poter corroborare la tesi che il blocco nell’uso della banca dati sia un evento avente un impatto negativo (Material adverse event) sull’attività ed il valore dell’azienda acquisita, facendo scattare l’applicazione di una clausola di Mae e dando all’acquirente il diritto di non addivenire al closing; (ii) aggiungere specifiche dichiarazioni e garanzie con la quale il venditore garantisca che la società target non utilizzi i dati sensibili per scopi diversi da quelli indicati nell’informativa e comunicati ai soggetti cui appartengono i dati sensibili, (iii) aggiungere una clausola in base alla quale il venditore e la società target si impegnino a non trattare e utilizzare i dati sensibili per finalità scientifiche e statistiche diverse da quelle riportate nell’informativa tra il signing ed il closing dell’operazione.

In un’operazione di m&a, l’acquirente è solitamente la parte che ha il maggior interesse ad un utilizzo corretto dei dati sensibili contenuti nella banca dati acquistata. Tuttavia, lo stesso interesse potrebbe sorgere in capo al venditore nel caso in cui parte del prezzo di acquisto sia legata al raggiungimento di specifici obiettivi, come nell’ipotesi di clausole di earn-out, largamente utilizzate nell’ambito di operazioni m&a in ambito life sciences. In tal caso, se all’indomani della conclusione dell’operazione l’acquirente utilizzi i dati violando la normativa sulla protezione dati così da compromettere il conseguimento dell’earn-out da parte del venditore (per esempio impedendo il raggiungimento di certi risultati in una sperimentazione clinica o attività di ricerca che richieda l’uso della biobanca), è consigliabile al venditore di specificare nel contratto di cessione idonei due diligence requirements che l’acquirente dovrà rispettare in relazione al trattamento dei dati sensibili e della biobanca.
Senza dubbio il principio enunciato dal tribunale di Cagliari apre nuove prospettive di valorizzazione delle biobanche e, più in generale, delle raccolte di dati sensibili. Ove tale statuizione non venisse modificata nel giudizio di appello, in forza di tale precedente un potenziale acquirente che intenda perseguire le medesime finalità dichiarate dal venditore non dovrebbe più acquisire un nuovo consenso dai soggetti interessati. In ultima analisi, ciò permetterebbe una circolazione più agevole delle banche dati e delle biobanche con effetti assai positivi per il potenziamento della ricerca scientifica.

A cura di Luca Gambini e Elisa Stefanini

Home page Digital & life sciences

 

 Contributo sponsorizzato