[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/06\/due-diligence-nueva-lopd\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/06\/due-diligence-nueva-lopd\/","headline":"Due Diligence y la nueva LOPD – \u00bfQu\u00e9 es? \u00bfEn qu\u00e9 afecta?","name":"Due Diligence y la nueva LOPD – \u00bfQu\u00e9 es? \u00bfEn qu\u00e9 afecta?","description":"\u00bfQu\u00e9 es la Due Diligence? \u00bfC\u00f3mo se regula en Espa\u00f1a y en qu\u00e9 le afecta la normativa de Protecci\u00f3n de Datos (LOPDGDD), legitimaci\u00f3n y medidas. \u00a1Clic +\u00ecnfo!","datePublished":"2019-02-06","dateModified":"2020-11-23","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2019\/02\/due-diligence.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2019\/02\/due-diligence.jpg","height":934,"width":1400},"url":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/06\/due-diligence-nueva-lopd\/","about":["LOPDGDD & RGPD"],"wordCount":2228,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } En nuestra tarea de acercar el derecho de protecci\u00f3n de datos a las empresas de una forma pr\u00e1ctica y efectiva, en el presente post analizaremos el proceso conocido como \u201cdue diligence\u201d, su significado y las repercusiones que el mismo puede tener en nuestra pol\u00edtica de privacidad.\u00bfQu\u00e9 es un Due Diligence?\u00bfCuando se realiza un informe de Due Diligence?\u00bfCu\u00e1nto dura un proceso de diligencia debida?\u00bfCu\u00e1l es el objetivo del comprador o inversor cuando somete a una entidad a las comprobaciones debidas?Due Diligence en Espa\u00f1aFases de un proceso de diligencia debidaNormativaLa protecci\u00f3n de datos en el marco de una Due DiligenceInformaci\u00f3n confidencialLegitimaci\u00f3n y medidas de protecci\u00f3n en la realizaci\u00f3n de una Due DiligenceEl requisito del triple filtro\u00bfEn qu\u00e9 se diferencian un informe de Due Diligence y una auditor\u00eda?\u00bfQu\u00e9 es un Due Diligence?Entendemos por Due Diligence (expresi\u00f3n importada del derecho anglosaj\u00f3n que significa comprobaciones debidas, diligencia debida o auditor\u00eda de compra) cualquier tipo de an\u00e1lisis, investigaci\u00f3n o auditor\u00eda sobre los aspectos organizativos, legales y estructurales que acarrea la adquisici\u00f3n de una empresa y sus activos.Dentro de \u00e9sta encontraremos la Due Diligence legal (donde incluir\u00edamos la Due Diligence laboral, sobre protecci\u00f3n de datos, fiscal\u2026) que ser\u00e1 la encaminada a identificar los riesgos y contingencias de la empresa objeto de la compraventa o fusi\u00f3n en cuanto a su cumplimiento de la normativa vigente, y poder determinar la viabilidad de la operaci\u00f3n.Cualquier procedimiento de adquisici\u00f3n de una empresa de cierta entidad necesita de un procedimiento de Due Diligence mediante el cual el eventual comprobador puede obtener una radiograf\u00eda fidedigna del funcionamiento y estructura de la empresa a adquirir, obteniendo por tanto valiosa informaci\u00f3n para ponderar la viabilidad de la compra.Por tanto, en t\u00e9rmino generales, el ejemplo m\u00e1s generalizado es que se trate de un elemento previo a la formalizaci\u00f3n de un contrato de compraventa (M&A, Mergers and Acquisitions seg\u00fan sus siglas en ingl\u00e9s), dado que el resultado se encuentra directamente vinculado a los resultados de la auditor\u00eda legal.Comienza con el proceso de b\u00fasqueda de informaci\u00f3n llevada a cabo, generalmente, por el comprador interesado al inicio de las negociaciones, para evaluar los riesgos y contingencias de la sociedad objeto de la compra (o bien sus activos) y de su situaci\u00f3n econ\u00f3mico-financiera.\u00bfCuando se realiza un informe de Due Diligence?El informe de Due Diligence se realiza ante la perspectiva de un proceso de compra, la celebraci\u00f3n de rondas de inversi\u00f3n con participaci\u00f3n de inversores interesados en la empresa, o cuando una compa\u00f1\u00eda va a cambiar de \u00f3rgano de administraci\u00f3n, entre otros casos.Es decir, las llamadas comprobaciones debidas se llevan a cabo para informar a compradores o inversores antes de tomar una decisi\u00f3n de inversi\u00f3n. De esta manera, obtienen informaci\u00f3n sobre la situaci\u00f3n general de la empresa, sus activos y pasivos, y pueden identificar riesgos y oportunidades antes de invertir.\u00bfCu\u00e1nto dura un proceso de diligencia debida?Un proceso de Due Diligence suele durar alrededor de dos o tres semanas, aunque se puede extender a un mes en el caso de las operaciones de venta.El procedimiento se inicia mediante la solicitud, por parte del consultor responsable, de una lista de tareas que la empresa debe proporcionar. Normalmente esta lista de tareas incluye informaci\u00f3n sobre contratos, documentaci\u00f3n legal y laboral, informaci\u00f3n contable, propiedad intelectual, industrial y patentes, cumplimiento en materia de privacidad y protecci\u00f3n de datos, responsabilidad social, etc.En caso de que la empresa no pueda o no quiera facilitar alguna de esta informaci\u00f3n, deber\u00e1 explicar los motivos, por ejemplo en caso de que no exista o la considere irrelevante para el informe final.\u00bfCu\u00e1l es el objetivo del comprador o inversor cuando somete a una entidad a las comprobaciones debidas?L\u00f3gicamente su intenci\u00f3n principal es evaluar los costes, riesgos y beneficios de la adquisici\u00f3n, y de esta forma confirmar s\u00ed, en t\u00e9rminos econ\u00f3micos, la empresa con la cual se va a cerrar la compraventa o inversi\u00f3n se encuentra una situaci\u00f3n aceptable para la compra, no estando expuesta a eventuales riesgos econ\u00f3micos, financieros o legales que pudieran suponer un riesgo inasumible para el interesado.Sus objetivos por tanto consistir\u00e1n en:Identificar las oportunidades y riesgos de la operaci\u00f3nIdentificar los pasivos y las contingencias que podr\u00edan llevar a la revisi\u00f3n del precio de adquisici\u00f3n y\/o al aumento de las garant\u00edas a las que se obliga el vendedor respecto al compradorDue Diligence en Espa\u00f1aPrimeramente hay que clarificar que en Espa\u00f1a ninguna norma regula el procedimiento que hay que seguir para llevar a cabo un procedimiento de Due Diligence. Pese a este hecho, la pr\u00e1ctica empresarial ha sentado una serie de criterios b\u00e1sicos que marcan los tiempos y fases dentro de todo el proceso:Fases de un proceso de diligencia debidaEl procedimiento para elaborar un informe de Due Diligence en Espa\u00f1a ha de pasar por varias fases:Redacci\u00f3n de una carta de intenciones que incluya plazo de realizaci\u00f3n, obligaci\u00f3n del vendedor de permitir el acceso a su informaci\u00f3n interna, pacto de confidencialidad y compromiso por parte del vendedor de no negociar ni realizar operaciones paralelas con otros compradores hasta finalizar el procesoNombramiento de los profesionales independientes que la llevar\u00e1n a cabo (abogados, delegados de protecci\u00f3n de datos, expertos en fiscalidad, contabilidad\u2026)Fase de investigaci\u00f3n (recabado de documentaci\u00f3n, an\u00e1lisis de procedimientos legales, recursos humanos, finanzas…)Fase de confirmaci\u00f3n de datos: en esta fase el comprador averiguar\u00e1 la dimensi\u00f3n jur\u00eddica de las informaciones conseguidas, concernientes a varios aspectos de la sociedad. Generalmente el vendedor tendr\u00e1 que aclarar y ampliar varios aspectos al comprador en orden a conseguir la imagen lo m\u00e1s fidedigna posible del estado actual de la empresa a adquirirNormativaA nivel europeo, el Reglamento General de Protecci\u00f3n de Datos (RGPD) y a\u00a0nivel nacional la Ley Org\u00e1nica 3\/2018, de 5 de diciembre, de Protecci\u00f3n de Datos Personales y Garant\u00eda de los Derechos Digitales (LOPDGDD)..La protecci\u00f3n de datos en el marco de una Due DiligenceSentados ya los conceptos b\u00e1sicos a la hora de comprender la raz\u00f3n de ser de una Due Diligence observamos que resulta imposible obviar el fuerte papel que juega la pol\u00edtica de protecci\u00f3n de datos de la empresa en su elaboraci\u00f3n y consiguiente resultado.Para ello la analizaremos no s\u00f3lo como uno de los aspectos a estudiar por parte del comprador como un campo cr\u00edtico en el funcionamiento de la empresa auditada, sino tambi\u00e9n directamente desde el punto de vista de la elaboraci\u00f3n de la propia Due Diligence, al consistir la misma en un intercambio de informaci\u00f3n confidencial entre dos empresas y como \u00e9l mismo ha de estar convenientemente controlado y regulado contractualmente.Informaci\u00f3n confidencialAntes de iniciar un proceso de Due Diligence se debe especificar por contrato que la informaci\u00f3n proporcionada es estrictamente confidencial. Dicha informaci\u00f3n solo estar\u00e1 al alcance del profesional encargado de elaborar la auditor\u00eda, mientras que los compradores e inversores solo tendr\u00e1n acceso al informe final.La raz\u00f3n por la que los inversores o compradores no tienen acceso a la totalidad de la informaci\u00f3n es evitar que obtengan datos cr\u00edticos o confidenciales de la empresa analizada que podr\u00edan usar en su propio beneficio, por ejemplo en caso de que finalmente decidan invertir en una empresa de la competencia.Legitimaci\u00f3n y medidas de protecci\u00f3n en la realizaci\u00f3n de una Due DiligenceHasta la entrada en vigor del nuevo marco jur\u00eddico de la protecci\u00f3n de datos con el Reglamento General de Protecci\u00f3n de Datos 2016\/679 del Parlamento Europeo y del Consejo de 27 de Abril de 2016 (RGPD) y la reciente Ley Org\u00e1nica 3\/2018, de 5 de diciembre, de Protecci\u00f3n de Datos Personales y Garant\u00eda de los Derechos Digitales (LOPDGDD), no se recog\u00eda menci\u00f3n alguna en nuestra normativa al tratamiento de datos personales al analizar los riesgos legales a los que se enfrentaba una empresa cuando llevaba a cabo una operaci\u00f3n societaria.El nuevo RGPD recoge un nuevo r\u00e9gimen m\u00e1s exigente y reforzado obligando a todos los sectores empresariales que traten datos personales a intensificar la seguridad y control de sus pol\u00edticas de privacidad, no siendo ajeno a este respecto los procesos de M&A, en los cuales, tal como hemos dejado patente a lo largo de este art\u00edculo, se tratan datos sensibles de trabajadores, clientes, proveedores y dem\u00e1s interesados.En la recientemente publicada Ley Org\u00e1nica 3\/2018, de 5 de diciembre, de Protecci\u00f3n de Datos Personales y Garant\u00eda de los Derechos Digitales, que viene a transponer el RGPD al ordenamiento jur\u00eddico espa\u00f1ol, concreta y precisa los supuestos donde se presume un uso il\u00edcito de los datos personales basados en un inter\u00e9s leg\u00edtimo. Concretamente en su art\u00edculo 21 recoge la licitud de uso en operaciones mercantiles, tales como las modificaciones estructurales de sociedades o la aportaci\u00f3n o transmisi\u00f3n de negocio o rama empresarial. Tal es as\u00ed que incluso prev\u00e9 \u201cla comunicaci\u00f3n con car\u00e1cter previo\u201d, una clara referencia del legislador a los procesos de Due Diligence.Por tanto, bas\u00e1ndonos en el citado art\u00edculo el tratamiento de datos durante una Due Diligence encontrar\u00eda legitimaci\u00f3n, pero siendo necesario una valoraci\u00f3n previa de los intereses de la sociedad compradora frente a los derechos de los interesados, teniendo siempre que encontrar proporcionalidad entre el acceso a la informaci\u00f3n protegida frente al fin buscado. De esta forma, se requiere cumplir con el denominado triple filtro, conforme a la Sentencia del Tribunal de Justicia de la Uni\u00f3n Europea, correspondiente al caso C-13\/16.El requisito del triple filtroEste requisito se divide en los siguientes requerimientos para la empresa encargada de realizar el procedimiento:La existencia de un inter\u00e9s leg\u00edtimo por parte del responsableLa necesidad del tratamiento para cumplir con dicho inter\u00e9sLa no prevalencia de los derechos y libertades del interesadoCabe mencionar que el Grupo de Trabajo del Art\u00edculo 29 en su Opini\u00f3n 06\/2014,concret\u00f3 que el inter\u00e9s leg\u00edtimo debe ser concreto, de manera que permita el an\u00e1lisis de los intereses en juego: real y no especulativo; y l\u00edcito en relaci\u00f3n el derecho nacional y la de UE.Tambi\u00e9n resulta importante sentar unas medidas de seguridad exhaustivas que impidan la p\u00e9rdida de informaci\u00f3n, el uso ileg\u00edtimo y extralimitado y que protejan la confidencialidad, entre las cuales estar\u00edan:Intentar reducir la informaci\u00f3n compartida que contenga datos personales de trabajadores, clientes o proveedores, s\u00f3lo vali\u00e9ndose de ella para casos donde resulte inevitableCuando esta informaci\u00f3n resulte necesaria se deber\u00e1 obtener el consentimiento expreso de las partes implicadas, resultando prudente incluir cl\u00e1usulas que prevean estas operaciones en los contratos de confidencialidad para trabajadores y de encargados del tratamiento para terceras empresasAnonimizar datos de los trabajadoresEndurecer las obligaciones de los compromisos de confidencialidad de todas aquellas partes que accedan a datos, tanto compradores como sus posibles asesores.Dise\u00f1ar procedimientos de devoluci\u00f3n o destrucci\u00f3n de la informaci\u00f3n tras el proceso.\u00bfEn qu\u00e9 se diferencian un informe de Due Diligence y una auditor\u00eda?El objetivo de una auditor\u00eda es evaluar el estado de una empresa y comprobar si se ajusta a su desempe\u00f1o financiero. Por su parte, un informe de Due Diligence est\u00e1 destinada a ofrecer informaci\u00f3n relevante a posibles inversores y compradores antes de realizar una operaci\u00f3n comercial.Por otro lado, una auditor\u00eda suele recoger informaci\u00f3n financiera al final del a\u00f1o contable, mientras que el proceso de Due Diligence abarca muchas otras \u00e1reas del negocio. Es decir, la auditor\u00eda podr\u00eda incluirse dentro del informe de Due Diligence, pero ser\u00eda solo una parte del mismo.Otra de las diferencias entre una auditor\u00eda y Due Diligence es que las auditor\u00edas suelen ser realizadas por contadores o auditores profesionales, mientras que la Due Diligence se lleva a cabo a trav\u00e9s de consultor\u00edas especializadas o representantes de la compa\u00f1\u00eda inversora o compradora.Por \u00faltimo, las auditor\u00eda suelen tener un coste fijo, o al menos menos variable que los an\u00e1lisis de Due Diligence. En estos \u00faltimos el coste puede variar bastante en funci\u00f3n de su alcance.Con esto llegamos al final del art\u00edculo. Esperamos que te haya servido de ayuda. Si tienes alguna duda, no dudes en plantearla en los comentarios."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/06\/due-diligence-nueva-lopd\/#breadcrumbitem","name":"Due Diligence y la nueva LOPD – \u00bfQu\u00e9 es? \u00bfEn qu\u00e9 afecta?"}}]}]