Nel 2025 in Italia sono state completate 99 operazioni M&A nel settore healthcare. Centri diagnostici, RSA, studi odontoiatrici, laboratori di analisi, cliniche veterinarie: il consolidamento del mercato sanitario privato è in piena accelerazione, spinto da fondi di private equity e operatori strategici che vedono nella frammentazione italiana un'opportunità strutturale.
Il problema è che molti di questi deal arrivano al closing con una due diligence incompleta.
Non sul piano finanziario bilanci e debiti vengono analizzati con cura. Ma su un livello più silenzioso, fatto di autorizzazioni regionali, consensi ai pazienti, contratti con fornitori IT mai formalizzati, registri del trattamento dati mai aggiornati. Un debito invisibile che l'acquirente scopre solo dopo.
Questo articolo è una guida operativa alle quattro aree di rischio che ogni advisor, CFO o responsabile M&A dovrebbe presidiare prima di firmare.
Il debito privacy: il rischio che nessuno considera
Nel settore sanitario, i dati dei pazienti non sono dati comuni, rientrano nelle categorie speciali ai sensi dell'art. 9 del GDPR, il livello di protezione più elevato previsto dalla normativa europea, e la responsabilità di trattarli correttamente non si estingue con il cambio di proprietà .
Questo significa che l'acquirente si porta in eredità tutto ciò che la struttura ha fatto (o non fatto) negli anni precedenti: informative mai aggiornate dal 2018, consensi raccolti con moduli non conformi, contratti con il gestionale clinico senza una nomina formale a responsabile del trattamento ex art. 28 GDPR.
Ogni irregolarità è una potenziale passività . Le sanzioni del Garante della Privacy alle strutture sanitarie italiane sono aumentate costantemente negli ultimi tre anni, sia per numero che per entità .
La domanda giusta da fare in due diligence non è "sono conformi al GDPR?". È "cosa succederebbe se arrivasse un'ispezione domani?"
Ma cosa dobbiamo controllare per evitare che ci siano sanzioni?
Le 4 aree di rischio da presidiare
1. Compliance GDPR e Gestione dei Dati dei Pazienti
È l'area più sottovalutata e la più pericolosa. Prima di procedere è necessario verificare:
Registro dei trattamenti (art. 30 GDPR), esiste, ed è aggiornato con tutti i flussi di dati attivi?
Informative ai pazienti, sono state riscritte dopo maggio 2018? Coprono le finalità reali del trattamento?
Contratti ex art. 28, il fornitore del gestionale, il provider cloud, il laboratorio di analisi esterno, sono tutti formalizzati come responsabili del trattamento?
Nomina DPO, per strutture che trattano dati clinici su larga scala è obbligatorio. È presente e operativo?
Data breach pregressi, ci sono stati? Sono stati notificati al Garante entro le 72 ore previste?
Un'anomalia in uno qualsiasi di questi punti è una clausola di rinegoziazione del prezzo o, nei casi peggiori, una condizione sospensiva del deal.
2. Autorizzazioni sanitarie e accreditamenti
Qui si trova uno dei rischi più tecnici e spesso sottostimati: l'autorizzazione sanitaria regionale potrebbe essere intestata al titolare persona fisica, non alla società . In caso di acquisizione, non è automaticamente trasferibile.
Aspetti da verificare sistematicamente:
L'autorizzazione sanitaria è in capo alla struttura o al medico-titolare?
Se la struttura è accreditata con il SSN, quali sono le condizioni contrattuali per il mantenimento dell'accreditamento post-acquisizione?
Il direttore sanitario è legato alla struttura o alla persona? Il suo contratto è trasferibile?
Le planimetrie depositate in ASL corrispondono allo stato attuale dei locali?
Le apparecchiature radiologiche hanno tutte le comunicazioni al Ministero previste dal D.Lgs. 230/95?
Per gli studi odontoiatrici, in particolare, l'autorizzazione è spesso vincolata alla presenza del direttore sanitario nominato all'atto dell'apertura. Cambiarlo richiede iter regionali che possono rallentare il closing di settimane.
3. Cybersecurity e conformità NIS2
Dal 2026 le strutture sanitarie sono classificate come settore essenziale dalla Direttiva NIS2. Questo introduce obblighi espliciti in materia di sicurezza informatica, gestione degli incidenti e responsabilità del management.
In una due diligence, questo si traduce in domande concrete:
Qual è lo stato dell'infrastruttura IT? I sistemi di gestione delle cartelle cliniche sono aggiornati e sicuri?
Ci sono stati incidenti ransomware o violazioni di dati negli ultimi tre anni?
Esistono policy di sicurezza informatica documentate?
La struttura ha avviato un assessment di conformità NIS2?
Oltre il 30% delle operazioni M&A nel settore salute include ormai una valutazione esplicita del rischio cyber nella determinazione del valore.
4. Continuità Operativa Post-Acquisizione
La due diligence non finisce al closing. Anzi, alcune delle questioni più delicate emergono subito dopo.
Il trasferimento della titolarità del trattamento dei dati dei pazienti richiede, nella maggior parte dei casi, una nuova informativa da consegnare ai pazienti attivi. Non è un adempimento burocratico: è un obbligo di legge, e la sua omissione espone il nuovo titolare a responsabilità diretta.
Allo stesso modo, la migrazione dei dati clinici verso nuovi sistemi deve avvenire secondo protocolli sicuri. Le cartelle cliniche cartacee, poi, devono essere conservate per almeno 10 anni (20 per quelle ospedaliere), e la responsabilità della conservazione passa con il deal.
Come organizzare i documenti in due diligence
Raccogliere, condividere e analizzare questo volume di documentazione richiede un ambiente controllato. Non un'email con allegati. Non una cartella Dropbox condivisa.
I documenti sanitari sono per definizione dati speciali ai sensi del GDPR. Farli circolare su canali non cifrati o senza log di accesso espone già durante il processo di due diligence al rischio di violazione.
Una Virtual Data Room configurata per questo settore deve garantire:
Cifratura dei documenti a riposo e in transito
Permessi granulari per singolo documento o cartella
Log completo degli accessi (chi ha visto cosa, quando)
Watermarking automatico dei documenti sensibili
Possibilità di revocare l'accesso istantaneamente
La struttura documentale ideale per una VDR healthcare segue le quattro aree descritte in questo articolo: una sezione GDPR & Privacy, una per le Autorizzazioni, una per Cybersecurity e una per la documentazione operativa e contrattuale.