El nuevo Reglamento General de Protección de Datos 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (en adelante, RGPD) ha establecido un régimen reforzado que obliga a todos los sectores españoles a replantear y analizar sus sistemas de tratamiento de datos, y los procesos realizados en el seno de operaciones de M&A, donde se manejan datos sensibles de trabajadores, clientes y proveedores, entre otros, no son una excepción.
Los procesos de revisión, conocidos en la práctica como Due Diligence, implican un constante intercambio de información entre las partes implicadas, y a la luz del nuevo RGPD debe cuestionarse cuál debe o puede ser el alcance de dicho intercambio de información y qué medidas de protección deben tomarse.
El RGPD impone al responsable y al encargado del tratamiento de los datos la obligación de velar por su correcta utilización con base en el consentimiento de sus titulares, sino concurre otra base legal. Estas obligaciones ya estaban vigentes bajo la anterior normativa, pero los controles y las sanciones se han visto notablemente incrementados, por lo que la cuestión que debe dilucidarse antes de compartir datos en un Virtual Data Room es si un consentimiento general comprende la posibilidad de emplear dichos datos en aras del interés de la empresa o si, por el contrario, deben tomarse medidas adicionales en relación a los derechos de los interesados, titulares de dichos datos.
El artículo 6 del RGPD en su letra f) otorga cierto encaje al establecer una excepción al régimen general de consentimiento imperativo cuando los datos sean utilizados con base en un interés legítimo, en este caso, el interés de la empresa, que muchas veces busca la continuación del negocio en beneficio, de no solo socios, sino de trabajadores y proveedores. Debe tenerse en cuenta que el RGPD ha sido criticado por su excesiva generalidad, y ciertamente, un concepto indeterminado, como es el interés legítimo, puede ser utilizado como una especie de cajón de sastre, sin que el tiempo transcurrido desde la aprobación del RGPD permita disponer de doctrina consistente en torno a la delimitación de su aplicación como excepción.
Sin embargo, el proyecto de Ley Orgánica de Protección de Datos de carácter personal, recientemente aprobado por el Gobierno español y en tramitación parlamentaria a la hora de cerrar este artículo, intenta concretar dicha generalidad y define ciertos supuestos en donde se presume un uso lícito de los datos basado en un interés legítimo. Precisamente, entre dichos supuestos, el artículo 21 regula la licitud de uso en operaciones mercantiles, como son las modificaciones estructurales de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre y cuando el tratamiento sea necesario para el buen fin de la operación. Se permite incluso el tratamiento de datos con carácter previo a la operación, pensando el legislador en los procesos de Due Diligence.
Sobre la base de este artículo 21, las dudas planteadas respecto a la utilización de datos personales en el marco de una Due Diligence quedarían solventadas, aunque, en todo caso, se requeriría un análisis ponderativo previo entre los intereses de la sociedad y los derechos de los particulares; por ejemplo, que éstos pudieran razonablemente prever la utilización de sus datos en operaciones de esta naturaleza, favorecería calificar su uso como licito.
No obstante, todo ello queda a expensas de la regulación definitiva que se apruebe.
En consecuencia y limitándonos al régimen actual, en toda Due Diligence se deben tomar una serie de medidas antes de compartir cualquier información. A modo ejemplificativo podemos citar las siguientes:
- Limitar la información compartida a aquella que no contenga datos personales de terceras partes como trabajadores, clientes, proveedores u otros terceros.
- En el caso de que deba compartirse dicha información, deberá obtenerse el consentimiento expreso y concreto al caso aplicable de los implicados. Por ello es recomendable incluir cláusulas de consentimiento de utilización en el marco de estas operaciones en contratos laborales y comerciales.
- Eliminar datos personales de la documentación compartida.
- Anonimizar datos de los trabajadores, a pesar de que en algunos casos sean identificables por su cargo.
- Reforzar los compromisos de confidencialidad de todas aquellas partes que vayan a acceder a los datos, tanto de posibles compradores como de sus equipos de asesores.
- Al finalizar los procesos de revisión, deberá asegurarse la correcta eliminación de toda información que contenga dichos datos.
Todas estas medidas de protección, sin embargo, limitan la información que puede compartirse, restringiendo la efectividad de la Due Diligence; por lo que, pendiente de aprobación definitiva la nueva regulación española, la utilidad de estos procesos en el marco de operaciones de M&A puede verse superada por un sistema de manifestaciones y garantías reforzadas.
