En nuestra tarea de acercar el derecho de protección de datos a las empresas de una forma práctica y efectiva, en el presente post analizaremos el proceso conocido como “due diligence”, su significado y las repercusiones que el mismo puede tener en nuestra política de privacidad.
¿Qué es un Due Diligence?
Entendemos por Due Diligence (expresión importada del derecho anglosajón que significa comprobaciones debidas, diligencia debida o auditoría de compra) cualquier tipo de análisis, investigación o auditoría sobre los aspectos organizativos, legales y estructurales que acarrea la adquisición de una empresa y sus activos.
Dentro de ésta encontraremos la Due Diligence legal (donde incluiríamos la Due Diligence laboral, sobre protección de datos, fiscal…) que será la encaminada a identificar los riesgos y contingencias de la empresa objeto de la compraventa o fusión en cuanto a su cumplimiento de la normativa vigente, y poder determinar la viabilidad de la operación.
Cualquier procedimiento de adquisición de una empresa de cierta entidad necesita de un procedimiento de Due Diligence mediante el cual el eventual comprobador puede obtener una radiografía fidedigna del funcionamiento y estructura de la empresa a adquirir, obteniendo por tanto valiosa información para ponderar la viabilidad de la compra.
Por tanto, en término generales, el ejemplo más generalizado es que se trate de un elemento previo a la formalización de un contrato de compraventa (M&A, Mergers and Acquisitions según sus siglas en inglés), dado que el resultado se encuentra directamente vinculado a los resultados de la auditoría legal.
Comienza con el proceso de búsqueda de información llevada a cabo, generalmente, por el comprador interesado al inicio de las negociaciones, para evaluar los riesgos y contingencias de la sociedad objeto de la compra (o bien sus activos) y de su situación económico-financiera.
¿Cuando se realiza un informe de Due Diligence?
El informe de Due Diligence se realiza ante la perspectiva de un proceso de compra, la celebración de rondas de inversión con participación de inversores interesados en la empresa, o cuando una compañía va a cambiar de órgano de administración, entre otros casos.
Es decir, las llamadas comprobaciones debidas se llevan a cabo para informar a compradores o inversores antes de tomar una decisión de inversión. De esta manera, obtienen información sobre la situación general de la empresa, sus activos y pasivos, y pueden identificar riesgos y oportunidades antes de invertir.
¿Cuánto dura un proceso de diligencia debida?
Un proceso de Due Diligence suele durar alrededor de dos o tres semanas, aunque se puede extender a un mes en el caso de las operaciones de venta.
El procedimiento se inicia mediante la solicitud, por parte del consultor responsable, de una lista de tareas que la empresa debe proporcionar. Normalmente esta lista de tareas incluye información sobre contratos, documentación legal y laboral, información contable, propiedad intelectual, industrial y patentes, cumplimiento en materia de privacidad y protección de datos, responsabilidad social, etc.
En caso de que la empresa no pueda o no quiera facilitar alguna de esta información, deberá explicar los motivos, por ejemplo en caso de que no exista o la considere irrelevante para el informe final.
¿Cuál es el objetivo del comprador o inversor cuando somete a una entidad a las comprobaciones debidas?
Lógicamente su intención principal es evaluar los costes, riesgos y beneficios de la adquisición, y de esta forma confirmar sí, en términos económicos, la empresa con la cual se va a cerrar la compraventa o inversión se encuentra una situación aceptable para la compra, no estando expuesta a eventuales riesgos económicos, financieros o legales que pudieran suponer un riesgo inasumible para el interesado.
Sus objetivos por tanto consistirán en:
- Identificar las oportunidades y riesgos de la operación
- Identificar los pasivos y las contingencias que podrían llevar a la revisión del precio de adquisición y/o al aumento de las garantías a las que se obliga el vendedor respecto al comprador
Due Diligence en España
Primeramente hay que clarificar que en España ninguna norma regula el procedimiento que hay que seguir para llevar a cabo un procedimiento de Due Diligence. Pese a este hecho, la práctica empresarial ha sentado una serie de criterios básicos que marcan los tiempos y fases dentro de todo el proceso:
Fases de un proceso de diligencia debida
El procedimiento para elaborar un informe de Due Diligence en España ha de pasar por varias fases:
- Redacción de una carta de intenciones que incluya plazo de realización, obligación del vendedor de permitir el acceso a su información interna, pacto de confidencialidad y compromiso por parte del vendedor de no negociar ni realizar operaciones paralelas con otros compradores hasta finalizar el proceso
- Nombramiento de los profesionales independientes que la llevarán a cabo (abogados, delegados de protección de datos, expertos en fiscalidad, contabilidad…)
- Fase de investigación (recabado de documentación, análisis de procedimientos legales, recursos humanos, finanzas…)
- Fase de confirmación de datos: en esta fase el comprador averiguará la dimensión jurídica de las informaciones conseguidas, concernientes a varios aspectos de la sociedad. Generalmente el vendedor tendrá que aclarar y ampliar varios aspectos al comprador en orden a conseguir la imagen lo más fidedigna posible del estado actual de la empresa a adquirir
Normativa
A nivel europeo, el Reglamento General de Protección de Datos (RGPD) y a nivel nacional la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD)..
La protección de datos en el marco de una Due Diligence
Sentados ya los conceptos básicos a la hora de comprender la razón de ser de una Due Diligence observamos que resulta imposible obviar el fuerte papel que juega la política de protección de datos de la empresa en su elaboración y consiguiente resultado.
Para ello la analizaremos no sólo como uno de los aspectos a estudiar por parte del comprador como un campo crítico en el funcionamiento de la empresa auditada, sino también directamente desde el punto de vista de la elaboración de la propia Due Diligence, al consistir la misma en un intercambio de información confidencial entre dos empresas y como él mismo ha de estar convenientemente controlado y regulado contractualmente.
Información confidencial
Antes de iniciar un proceso de Due Diligence se debe especificar por contrato que la información proporcionada es estrictamente confidencial. Dicha información solo estará al alcance del profesional encargado de elaborar la auditoría, mientras que los compradores e inversores solo tendrán acceso al informe final.
La razón por la que los inversores o compradores no tienen acceso a la totalidad de la información es evitar que obtengan datos críticos o confidenciales de la empresa analizada que podrían usar en su propio beneficio, por ejemplo en caso de que finalmente decidan invertir en una empresa de la competencia.
Legitimación y medidas de protección en la realización de una Due Diligence
Hasta la entrada en vigor del nuevo marco jurídico de la protección de datos con el Reglamento General de Protección de Datos 2016/679 del Parlamento Europeo y del Consejo de 27 de Abril de 2016 (RGPD) y la reciente Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), no se recogía mención alguna en nuestra normativa al tratamiento de datos personales al analizar los riesgos legales a los que se enfrentaba una empresa cuando llevaba a cabo una operación societaria.
El nuevo RGPD recoge un nuevo régimen más exigente y reforzado obligando a todos los sectores empresariales que traten datos personales a intensificar la seguridad y control de sus políticas de privacidad, no siendo ajeno a este respecto los procesos de M&A, en los cuales, tal como hemos dejado patente a lo largo de este artículo, se tratan datos sensibles de trabajadores, clientes, proveedores y demás interesados.
En la recientemente publicada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, que viene a transponer el RGPD al ordenamiento jurídico español, concreta y precisa los supuestos donde se presume un uso ilícito de los datos personales basados en un interés legítimo. Concretamente en su artículo 21 recoge la licitud de uso en operaciones mercantiles, tales como las modificaciones estructurales de sociedades o la aportación o transmisión de negocio o rama empresarial. Tal es así que incluso prevé “la comunicación con carácter previo”, una clara referencia del legislador a los procesos de Due Diligence.
Por tanto, basándonos en el citado artículo el tratamiento de datos durante una Due Diligence encontraría legitimación, pero siendo necesario una valoración previa de los intereses de la sociedad compradora frente a los derechos de los interesados, teniendo siempre que encontrar proporcionalidad entre el acceso a la información protegida frente al fin buscado. De esta forma, se requiere cumplir con el denominado triple filtro, conforme a la Sentencia del Tribunal de Justicia de la Unión Europea, correspondiente al caso C-13/16.
El requisito del triple filtro
Este requisito se divide en los siguientes requerimientos para la empresa encargada de realizar el procedimiento:
- La existencia de un interés legítimo por parte del responsable
- La necesidad del tratamiento para cumplir con dicho interés
- La no prevalencia de los derechos y libertades del interesado
Cabe mencionar que el Grupo de Trabajo del Artículo 29 en su Opinión 06/2014,concretó que el interés legítimo debe ser concreto, de manera que permita el análisis de los intereses en juego: real y no especulativo; y lícito en relación el derecho nacional y la de UE.
También resulta importante sentar unas medidas de seguridad exhaustivas que impidan la pérdida de información, el uso ilegítimo y extralimitado y que protejan la confidencialidad, entre las cuales estarían:
- Intentar reducir la información compartida que contenga datos personales de trabajadores, clientes o proveedores, sólo valiéndose de ella para casos donde resulte inevitable
- Cuando esta información resulte necesaria se deberá obtener el consentimiento expreso de las partes implicadas, resultando prudente incluir cláusulas que prevean estas operaciones en los contratos de confidencialidad para trabajadores y de encargados del tratamiento para terceras empresas
- Anonimizar datos de los trabajadores
- Endurecer las obligaciones de los compromisos de confidencialidad de todas aquellas partes que accedan a datos, tanto compradores como sus posibles asesores.
- Diseñar procedimientos de devolución o destrucción de la información tras el proceso.
¿En qué se diferencian un informe de Due Diligence y una auditoría?
El objetivo de una auditoría es evaluar el estado de una empresa y comprobar si se ajusta a su desempeño financiero. Por su parte, un informe de Due Diligence está destinada a ofrecer información relevante a posibles inversores y compradores antes de realizar una operación comercial.
Por otro lado, una auditoría suele recoger información financiera al final del año contable, mientras que el proceso de Due Diligence abarca muchas otras áreas del negocio. Es decir, la auditoría podría incluirse dentro del informe de Due Diligence, pero sería solo una parte del mismo.
Otra de las diferencias entre una auditoría y Due Diligence es que las auditorías suelen ser realizadas por contadores o auditores profesionales, mientras que la Due Diligence se lleva a cabo a través de consultorías especializadas o representantes de la compañía inversora o compradora.
Por último, las auditoría suelen tener un coste fijo, o al menos menos variable que los análisis de Due Diligence. En estos últimos el coste puede variar bastante en función de su alcance.
Con esto llegamos al final del artículo. Esperamos que te haya servido de ayuda. Si tienes alguna duda, no dudes en plantearla en los comentarios.
Escribe aquí tu comentario