Start-up e investimenti: due diligence e GDPR

La cultura degli investimenti da e per le start-up è sensibilmente aumentato durante il corso degli ultimi anni grazie all’aumento dell’imprenditorialità e all’aumento dell’internazionalizzazione delle attività che partono dal territorio italiano.

Questo ha comportato una maggiore conoscenza di quelle che sono le maggiori tematiche delle nuove attività imprenditoriali: business plan, business model, marketing e comunicazione, valutazione delle start-up, ecc…

Nonostante ciò, c’è ancora poca conoscenza sulla parte legale relativa agli investimenti a partire dalla due diligence, passando alla negoziazione dei contratti di investimento, fino all’effettivo investimento.

La domanda principale quindi è: cosa vedere e cosa fare per prepararsi legalmente agli investimenti? Vediamo cosa fare partendo dalla due diligence.

  1. Due diligence…

La due diligence è l’attività preliminare che deve essere svolta per comprendere lo stato dell’arte della parte legale di una società. Prima di iniziare, però, è bene che vengano firmati una lettera di intenti e degli accordi di riservatezza che permettano di tutelare la riservatezza delle informazioni e permettano di garantire la protezione dei dati personali ai sensi del GDPR.

Una volta firmati gli opportuni accordi si può procedere all’analisi delle diverse questioni legali che saranno fondamentali per il successo o meno dell’investimento. In particolare, dovranno obbligatoriamente considerarsi i seguenti aspetti:

  • Societario, bisogna guardare prima di tutto lo statuto per comprendere chi sono i soci, quali sono i loro ruoli e che poteri hanno all’interno della società. Inoltre, bisogna chiedere se vi sono dei patti parasociali che regolano ulteriormente la direzione della società di modo da comprendere chi effettivamente sia il controllore della struttura;
  • Proprietà intellettuale, i progetti innovativi possono avere diversi diritti di proprietà intellettuale e sia la start-up che gli investitori devono vedere se le registrazioni o la proprietà intellettuale stessa sia tutelata dalla normativa di riferimento: marchio, brevetto, disegno, know-how, diritto d’autore sono solo alcuni degli aspetti da guardare;
  • Contrattualistica (commerciale on-line e off-line, IT e IP), l’attività della start-up vede il proprio sviluppo commerciale tutelato grazie ai contratti che questa firma con i clienti e i partner commerciali e, ai fini della due diligence, vanno valutate le singole clausole dei contratti per comprendere quanto l’azienda è tutelata, quali sono i rischi, oltre alla possibilità di recuperare i crediti;
  • Rapporti di lavoro, i contratti di rapporto di lavoro vanno analizzati attentamente per capire quali sono le figure interne e come queste operano all’interno dell’azienda, oltre a quelli che sono i possibili contenziosi con i dipendenti e le agevolazioni garantite dai contratti stessi;
  • Contenzioso, difficilmente le start-up nei primi anni di vita hanno dei contenziosi, ma in fase di investimento bisogna comunque capire come questi stanno procedendo e quali sono i rischi di perdita e le eventuali conseguenze che questa comporta.

      2. …e il GDPR

Il GDPR è fondamentale all’interno di una due diligence. Tralasciare una parte che comporta un rischio sanzionatorio così elevato, soprattutto per realtà digitali o innovative, vorrebbe dire esporre l’investimento ad un rischio non considerato che potrebbe compromettere l’attività imprenditoriale: per questo motivo è importante comprendere cosa analizzare in fase di valutazione legale dell’investimento.

Considerato quanto sopra, bisogna almeno analizzare quanto segue:

  • informative dipendenti/candidati, collaboratori, fornitori, clienti;
  • nomine persona autorizzata (ex incaricato), responsabile, amministratore di sistema;
  • misure di sicurezza tecniche per evitare dei data breach quale protezione degli accessi e della strumentazione informatica;
  • DPIA (ove svolta) e registro del trattamento;
  • formazione del personale.

Inoltre, visto che molte start-up basano la loro attività su siti o app, bisogna guardare attentamente:

  • modalità con cui vengono ottenuti e conservati i consensi degli utenti;
  • finalità del trattamento e se la start-up ha fatto una data strategy per valorizzare il database;
  • se tecnicamente la start-up ha predisposto la possibilità di estrapolare automaticamente i dati per poterli comunicare all’utente o ad altro titolare (diritto alla portabilità dei dati);
  • se tecnicamente è possibile cancellare i dati personali e informazioni che possono ricondurre all’utente (diritto all’oblio).