El impacto del RGPD para los profesionales de las fusiones y adquisiciones
El nuevo marco legal puede tener incidencia en la documentación y en los procesos de las operaciones de compraventa de empresas
Todas las empresas se han visto legalmente obligadas a adaptarse al nuevo Reglamento General de Protección de Datos (RGPD), pero hay que preguntarse si los profesionales de las fusiones y adquisiciones han adaptado sus prácticas al nuevo entorno. Y no pensamos tanto en el cumplimiento de obligaciones regulatorias como en la incidencia del nuevo marco en los procesos y la documentación de las operaciones de compraventa de empresas. En esta Perspectiva nos centraremos en algunos consejos y reflexiones en la redacción y negociación de contratos de compraventa de acciones o de activos y, en particular, en relación con el régimen de responsabilidad articulado a través de las denominadas declaraciones y garantías del vendedor (declaraciones).
Catálogo de recomendaciones
Cada empresa es un mundo: En materia de protección de datos es difícil generalizar. Hay pocos campos en los que las exigencias regulatorias dependen y varían tanto en función del tipo de actividad y modelo de negocio de la compañía o el negocio target. Las declaraciones deben redactarse después de habernos hecho las siguientes preguntas respecto de la empresa target, entre otras:
- ¿Es responsable del tratamiento de los datos de sus propios clientes y contrapartes y los procesa directamente (o encarga ese tratamiento a un tercer procesador) o, en cambio, es encargado del tratamiento de los datos de los clientes y contrapartes de un tercero que así se lo ha mandatado? La posición de negocio y jurídica del obligado varía y las declaraciones deben adaptarse a cada caso.
- ¿Procesa categorías especiales de datos, es decir, datos de niños, datos médicos y demás datos sensibles, merecedores de un grado de protección superior?
- ¿Ofrece sus productos o servicios en masa a través de canales digitales; está (o no) presente en redes sociales?
- ¿Está (o no) involucrada en transferencias internacionales de datos, posiblemente dentro de su grupo?
Obligaciones del régimen anterior: Aunque el RGPD y sus novedades están ahora en vigor, las declaraciones deben contemplar el cumplimiento de la normativa anterior (registro de ficheros ante las autoridades, por ejemplo) ya que las infracciones bajo la misma continúan siendo sancionables, aunque ciertas obligaciones hayan ya desaparecido.
Normativa no europea: El lugar de almacenamiento de los datos y el origen de los mismos pueden hacer entrar en juego normativas distintas de la europea.
Más allá de la regulación: Las declaraciones pueden no solo cubrir el cumplimiento de la regulación. También pueden tratar el cumplimiento de políticas internas y otras áreas de riesgo como el de fugas, pérdidas y demás incidencias, aunque no haya infracciones relevantes; el riesgo reputacional es también muy importante. Ahora bien, el vendedor puede resistirse a garantizar los riesgos generales inherentes a la tecnología o la actividad, aunque sean sucesos pasados.
Leal saber y entender: El vendedor defenderá que muchas de sus declaraciones se sujeten a su leal saber y entender. En tal caso el comprador podrá pedir que se exprese que tal saber y entender es el del delegado de protección de datos de la empresa, la nueva figura que impone el RGPD en ciertos casos, si lo hay, y/o el o los otros directivos más involucrados.
Plazo para reclamar: El plazo de vigencia de las declaraciones será una cuestión controvertida. El vendedor defenderá un plazo corto, de 12 a 24 meses, acorde con otras muchas declaraciones. El comprador querrá un plazo más largo, que alcance la prescripción de las infracciones administrativas y la caducidad de los expedientes.
‘Caveat emptor’: cuidado por parte del comprador
En materia de datos, las declaraciones no son sustitutorias de un buen due diligence. Por eso, las declaraciones deben servir también para, a través de su redacción, hacer aflorar aquella documentación que el vendedor pudiera no haber facilitado en el proceso de due diligence, la cual deberá ser analizada adecuadamente para evaluar el cumplimiento por la empresa target de sus obligaciones en esta materia.
El valor está en el cumplimiento
En la mayoría de los casos, no hay que concebir el mundo de los datos personales como una mera cuestión de cumplimiento. Se trata de algo que cada vez más puede estar en el corazón de la estrategia y del modelo de negocio. Puede ser interesante para el comprador, una vez adquirida la empresa target, aprovechar el esfuerzo de recopilación documental derivado del due diligence para hacer un análisis de valor, que permita identificar oportunidades, fortalezas y amenazas y no solo contingencias regulatorias. Hay que acercarse a este mundo desde una perspectiva estratégica.
Compradores profesionales
Esta materia es doblemente importante para fondos de venture capital que invierten en compañías tecnológicas o de nuevos medicamentos, por la importancia del RGPD en estos sectores. También lo es para los fondos de capital privado y compradores en general, ya que la materia es sensible y debe evitarse que el impacto de cualquier incumplimiento de la empresa target sea escalable desde el punto de vista reputacional a los fondos y sus inversores. Pocos conocen la identidad de los accionistas de Cambridge Analytica pero alguien cree que si su accionista hubiese sido uno de los grandes fondos de private equity el escándalo no le hubiese salpicado?
La comunidad profesional de las fusiones y adquisiciones debe incorporar el RGPD a sus prácticas, empezando por el acercamiento a la negociación y al texto de las declaraciones del vendedor en el contrato de compraventa, que deben adaptarse no solo al RGPD, sino también a la importancia estratégica y a los riesgos de todo tipo que suscitan los datos personales.
Profesionales de contacto