Comienza el contenido principal

Volver

Medidas de cumplimiento de protección de datos personales en el marco de un proceso de Due Diligence

El nuevo Reglamento General de Protección de Datos ha establecido un régimen reforzado que obliga a todos los sectores españoles a replantear y analizar sus sistemas de tratamiento de datos, y los procesos realizados en el seno de operaciones de M&A, donde se manejan datos sensibles de trabajadores, clientes y proveedores, entre otros, no son una excepción

El nuevo Reglamento General de Protección de Datos 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016  (en adelante, RGPD) ha establecido un régimen reforzado que obliga a todos los sectores españoles a replantear y analizar sus sistemas de tratamiento de datos, y los procesos realizados en el seno de operaciones de M&A, donde se manejan datos sensibles de trabajadores, clientes y proveedores, entre otros, no son una excepción.

Los procesos de revisión, conocidos en la práctica como Due Diligence, implican un constante intercambio de información entre las partes implicadas, y a la luz del nuevo RGPD debe cuestionarse cuál debe o puede ser el alcance de dicho intercambio de información y qué medidas de protección deben tomarse.

El RGPD impone al responsable y al encargado del tratamiento de los datos la obligación de velar por su correcta utilización con base en el consentimiento de sus titulares, sino concurre otra base legal. Estas obligaciones ya estaban vigentes bajo la anterior normativa, pero los controles y las sanciones se han visto notablemente incrementados, por lo que la cuestión que debe dilucidarse antes de compartir datos en un Virtual Data Room es si un consentimiento general comprende la posibilidad de emplear dichos datos en aras del interés de la empresa o si, por el contrario, deben tomarse medidas adicionales en relación a los derechos de los interesados, titulares de dichos datos.

El artículo 6 del RGPD en su letra f) otorga cierto encaje al establecer una excepción al régimen general de consentimiento imperativo cuando los datos sean utilizados con base en un interés legítimo, en este caso, el interés de la empresa, que muchas veces busca la continuación del negocio en beneficio, de no solo socios, sino de trabajadores y proveedores. Debe tenerse en cuenta que el RGPD ha sido criticado por su excesiva generalidad, y ciertamente, un concepto indeterminado, como es el interés legítimo, puede ser utilizado como una especie de cajón de sastre, sin que el tiempo transcurrido desde la aprobación del RGPD permita disponer de doctrina consistente en torno a la delimitación de su aplicación como excepción.

Sin embargo, el proyecto de Ley Orgánica de Protección de Datos de carácter personal, recientemente aprobado por el Gobierno español y en tramitación parlamentaria a la hora de cerrar este artículo, intenta concretar dicha generalidad y define ciertos supuestos en donde se presume un uso lícito de los datos basado en un interés legítimo. Precisamente, entre dichos supuestos, el artículo 21 regula la licitud de uso en operaciones mercantiles, como son las modificaciones estructurales de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre y cuando el tratamiento sea necesario para el buen fin de la operación. Se permite incluso el tratamiento de datos con carácter previo a la operación, pensando el legislador en los procesos de Due Diligence.

Sobre la base de este artículo 21, las dudas planteadas respecto a la utilización de datos personales en el marco de una Due Diligence quedarían solventadas, aunque, en todo caso, se requeriría un análisis ponderativo previo entre los intereses de la sociedad y los derechos de los particulares; por ejemplo, que éstos pudieran razonablemente prever la utilización de sus datos en operaciones de esta naturaleza, favorecería calificar su uso como licito.

No obstante, todo ello queda a expensas de la regulación definitiva que se apruebe.

En consecuencia y limitándonos al régimen actual, en toda Due Diligence se deben tomar una serie de medidas antes de compartir cualquier información. A modo ejemplificativo podemos citar las siguientes:

  • Limitar la información compartida a aquella que no contenga datos personales de terceras partes como trabajadores, clientes, proveedores u otros terceros.
  • En el caso de que deba compartirse dicha información, deberá obtenerse el consentimiento expreso y concreto al caso aplicable de los implicados. Por ello es recomendable incluir cláusulas de consentimiento de utilización en el marco de estas operaciones en contratos laborales y comerciales.
  • Eliminar datos personales de la documentación compartida.
  • Anonimizar datos de los trabajadores, a pesar de que en algunos casos sean identificables por su cargo.
  • Reforzar los compromisos de confidencialidad de todas aquellas partes que vayan a acceder a los datos, tanto de posibles compradores como de sus equipos de asesores.
  • Al finalizar los procesos de revisión, deberá asegurarse la correcta eliminación de toda información que contenga dichos datos.

Todas estas medidas de protección, sin embargo, limitan la información que puede compartirse, restringiendo la efectividad de la Due Diligence; por lo que, pendiente de aprobación definitiva la nueva regulación española, la utilidad de estos procesos en el marco de operaciones de M&A puede verse superada por un sistema de manifestaciones y garantías reforzadas.

 

 

Utiliza el siguiente formulario para darnos tu opinión. La dirección de correo electrónico es necesaria para poder ponernos en contacto contigo, en ningún momento se publicará en este sitio web.

Política de Privacidad

Andersen Tax & Legal le informa de que los datos de carácter personal que nos proporcione rellenando el presente formulario serán tratados por Andersen Tax & Legal como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales que le solicitamos es para gestionar los comentarios que realiza en este blog. Legitimación: al marcar la casilla de aceptación, está dando su legítimo consentimiento para que sus datos sean tratados conforme a las finalidades de este formulario descritas en la política de privacidad. Podrá ejercer sus derechos de acceso, rectificación, limitación y suprimir los datos en la dirección comunicacion@AndersenTaxLegal.es, así como el derecho a presentar una reclamación ante una autoridad de control. Puede consultar la información adicional y detallada sobre Protección de Datos en nuestra Política de Privacidad.
Cristina 29 de noviembre de 2018 | 13:50
Un gran artículo que aclara mucho un tema en constante cambio y al que nos vemos necesariamente condicionados a día de hoy y al mismo tiempo genera un poco de inseguridad. Gracias por la publicación

Fin del contenido principal