En nuestra tarea de acercar el derecho de protección de datos a las empresas de una forma práctica y efectiva, en el presente post analizaremos el proceso conocido como “due diligence”, su significado y las repercusiones que el mismo puede tener en nuestra política de privacidad.

Entendemos por Due Diligence (expresión importada del derecho anglosajón que significa comprobaciones debidas, diligencia debida o auditoría de compra) cualquier tipo de análisis, investigación o auditoría sobre los aspectos organizativos, legales y estructurales que acarrea la adquisición de una empresa y sus activos. Dentro de ésta encontraremos la Due Diligence legal (donde incluiríamos la Due Diligence laboral, sobre protección de datos, fiscal…) que será la encaminada a identificar los riesgos y contingencias de la empresa objeto de la compraventa o fusión en cuanto a su cumplimiento de la normativa vigente, y poder determinar la viabilidad de la operación.

Cualquier procedimiento de adquisición de una empresa de cierta entidad necesita de un procedimiento de Due Diligence mediante el cual el eventual comprobador puede obtener una radiografía fidedigna del funcionamiento y estructura de la empresa a adquirir, obteniendo por tanto valiosa información para ponderar la viabilidad de la compra.

Por tanto, en término generales, el ejemplo más generalizado es que se trate de un elemento previo a la formalización de un contrato de compraventa (M&A, Mergers and Acquisitions según sus siglas en inglés), dado que el resultado se encuentra directamente vinculado a los resultados de la auditoría legal.

Comienza con el proceso de búsqueda de información llevada a cabo, generalmente, por el comprador interesado al inicio de las negociaciones, para evaluar los riesgos y contingencias de la sociedad objeto de la compra (o bien sus activos) y de su situación económico-financiera.

¿Cuál es el objetivo del comprador o inversor cuando somete a una entidad a las comprobaciones debidas?

Lógicamente su intención principal es evaluar los costes, riesgos y beneficios de la adquisición, y de esta forma confirmar sí, en términos económicos, la empresa con la cual se va a cerrar la compraventa o inversión se encuentra una situación aceptable para la compra, no estando expuesta a eventuales riesgos económicos, financieros o legales que pudieran suponer un riesgo inasumible para el interesado.

Sus objetivos por tanto consistirán en:

  • Identificar las oportunidades y riesgos de la operación
  • Identificar los pasivos y las contingencias que podrían llevar a la revisión del precio de adquisición y/o al aumento de las garantías a las que se obliga el vendedor respecto al comprador

Due Diligence en España

Primeramente hay que clarificar que en España ninguna norma regula el procedimiento que hay que seguir para llevar a cabo un procedimiento de Due Diligence.

Pese a este hecho, la práctica empresarial ha sentado una serie de criterios básicos que marcan los tiempos y fases dentro de todo el proceso:

  • Realización de una carta de intenciones que incluya plazo de realización, obligación del vendedor de permitir el acceso a su información interna, pacto de confidencialidad y compromiso por parte del vendedor de no negociar ni realizar operaciones paralelas con otros compradores hasta finalizar el proceso
  • Nombramiento de los profesionales independientes que la llevarán a cabo (abogados, delegados de protección de datos, expertos en fiscalidad, contabilidad…)
  • Fase de investigación (recabado de documentación, análisis de procedimientos legales, recursos humanos, finanzas…)
  • Fase de confirmación de datos: en esta fase el comprador averiguará la dimensión jurídica de las informaciones conseguidas, concernientes a varios aspectos de la sociedad. Generalmente el vendedor tendrá que aclarar y ampliar varios aspectos al comprador en orden a conseguir la imagen lo más fidedigna posible del estado actual de la empresa a adquirir

Normativa

A nivel europeo, el Reglamento General de Protección de Datos (RGPD) y a nivel nacional la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

La protección de datos en el marco de una Due Diligence

Sentados ya los conceptos básicos a la hora de comprender la razón de ser de una Due Diligence observamos que resulta imposible obviar el fuerte papel que juega la política de protección de datos de la empresa en su elaboración y consiguiente resultado.

Para ello la analizaremos no sólo como uno de los aspectos a estudiar por parte del comprador como un campo crítico en el funcionamiento de la empresa auditada, sino también directamente desde el punto de vista de la elaboración de la propia Due Diligence, al consistir la misma en un intercambio de información confidencial entre dos empresas y como él mismo ha de estar convenientemente controlado y regulado contractualmente.

Legitimación y medidas de protección en la realización de una Due Diligence

Hasta la entrada en vigor del nuevo marco jurídico de la protección de datos con el Reglamento General de Protección de Datos 2016/679 del Parlamento Europeo y del Consejo de 27 de Abril de 2016 (en adelante, RGPD) y la reciente Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, no se recogía mención alguna en nuestra normativa al tratamiento de datos personales al analizar los riesgos legales a los que se enfrentaba una empresa cuando llevaba a cabo una operación societaria.

El nuevo RGPD recoge un nuevo régimen más exigente y reforzado obligando a todos los sectores empresariales que traten datos personales a intensificar la seguridad y control de sus políticas de privacidad, no siendo ajeno a este respecto los procesos de M&A, en los cuales, tal como hemos dejado patente a lo largo de este artículo, se tratan datos sensibles de trabajadores, clientes, proveedores y demás interesados.

En la recientemente publicada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que viene a transponer el RGPD al ordenamiento jurídico español, concreta y precisa los supuestos donde se presume un uso ilícito de los datos personales basados en un interés legítimo. Concretamente en su artículo 21 recoge la licitud de uso en operaciones mercantiles, tales como las modificaciones estructurales de sociedades o la aportación o transmisión de negocio o rama empresarial. Tal es así que incluso prevé “la comunicación con carácter previo”, una clara referencia del legislador a los procesos de Due Diligence.

Por tanto, basándonos en el citado artículo el tratamiento de datos durante una Due Diligence encontraría legitimación, pero siendo necesario una valoración previa de los intereses de la sociedad compradora frente a los derechos de los interesados, teniendo siempre que encontrar proporcionalidad entre el acceso a la información protegida frente al fin buscado. De esta forma, se requiere cumplir con el denominado triple filtro, conforme a la Sentencia del Tribunal de Justicia de la Unión Europea, correspondiente al caso C-13/16.

El requisito del triple filtro

Este requisito se divide en los siguientes requerimientos para la empresa encargada de realizar el procedimiento:

  1. La existencia de un interés legítimo por parte del responsable
  2. La necesidad del tratamiento para cumplir con dicho interés
  3. La no prevalencia de los derechos y libertades del interesado

Cabe mencionar que el Grupo de Trabajo del Artículo 29 en su Opinión 06/2014,concretó que el interés legítimo debe ser concreto, de manera que permita el análisis de los intereses en juego: real y no especulativo; y lícito en relación el derecho nacional y la de UE.
También resulta importante sentar unas medidas de seguridad exhaustivas que impidan la pérdida de información, el uso ilegítimo y extralimitado y que protejan la confidencialidad, entre las cuales estarían:

  • Intentar reducir la información compartida que contenga datos personales de trabajadores, clientes o proveedores, sólo valiéndose de ella para casos donde resulte inevitable
  • Cuando esta información resulte necesaria se deberá obtener el consentimiento expreso de las partes implicadas, resultando prudente incluir cláusulas que prevean estas operaciones en los contratos de confidencialidad para trabajadores y de encargados del tratamiento para terceras empresas
  • Anonimizar datos de los trabajadores
  • Endurecer las obligaciones de los compromisos de confidencialidad de todas aquellas partes que accedan a datos, tanto compradores como sus posibles asesores.
  • Diseñar procedimientos de devolución o destrucción de la información tras el proceso

Consulta nuestros modelos para cumplir la LOPD

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.