Los fundamentos del GDPR para vendedores, compradores y empresas objetivo dentro de las revisiones de Due Diligence y las transacciones de fusiones y adquisiciones en la República Checa

La protección de la privacidad desempeña un papel vital en cada transacción, ya sea como parte de la evaluación de los riesgos para el comprador en caso de que los datos personales en la empresa objetivo no se manejen correctamente o en la evaluación de cómo tratar con los datos personales obtenidos dentro del marco de due diligence legal.

El Reglamento General de Protección de Datos de la UE (GDPR), que ha sido válido en todo el territorio de la UE desde el 25 de mayo de 2018, no afecta solo al funcionamiento diario de las empresas y sus departamentos de comercialización, pero resulta que también tiene un gran impacto en las transacciones de fusiones y adquisiciones. Cada empresa procesa datos personales, ya sea de sus empleados, clientes o socios comerciales, y utiliza estos datos, por ejemplo, para enviar ofertas especiales a direcciones de correo electrónico, o para crear una gran base de datos de clientes o para crear perfiles de clientes. Además, estos datos a menudo se comparten entre varias empresas dentro de una empresa o grupo.

Las obligaciones establecidas en el nuevo GDPR obligan a todas las partes involucradas en las transacciones de adquisición a revisar sus procedimientos existentes y adoptar nuevas medidas para proteger los datos personales. Esto se refiere principalmente a los datos personales que se ponen a disposición del comprador y sus asesores dentro de una revisión legal de diligencia debida de la compañía comprada. En este caso, el comprador se convertirá en un controlador de datos personales una vez que obtenga acceso a la sala de datos donde se encuentran los datos.

Sin embargo, tanto el vendedor como la compañía comprada deben prestar atención a la protección de los datos personales. Son estas personas las que deben garantizar que los datos personales estén disponibles de acuerdo con el GDPR, y solo según la necesidad de conocer la información necesaria para completar la transacción, y exclusivamente a personas autorizadas. Los datos personales también deben estar lo suficientemente protegidos del manejo no autorizado y, en caso de una adquisición infructuosa, liquidados de forma demostrable.

En caso de que una parte participante incumpla sus obligaciones en virtud del GDPR, se le aplicará una multa de hasta 20 millones de euros o, en el caso de una empresa, hasta el 4% de la facturación mundial anual total del ejercicio anterior, cualquiera que sea mayor.

Por lo tanto, la entrada en vigor del GDPR requerirá una reevaluación de todo el proceso de adquisición, en particular en relación con la revisión de due diligence de una empresa y el establecimiento de una sala de datos, y la creación de nuevas reglas de privacidad que estarán en consonancia con el GDPR.

La posición del vendedor en una transacción de fusiones y adquisiciones

En la fase preparatoria de la venta de una empresa, el vendedor debe garantizar de antemano una forma segura para que el comprador acceda a los documentos sobre la empresa comprada, a los efectos de la debida diligencia legal u otras revisiones. En la mayoría de los casos, esta será la preparación de una sala de datos. La sala de datos debe ser lo suficientemente segura para evitar el manejo no autorizado de datos personales y su posible filtración, a fin de cumplir con los requisitos de GDPR. Esto incluirá principalmente cifrar documentos almacenados, establecer derechos de acceso para usuarios individuales, registros de usuarios y auditorías de seguridad regulares del sistema de TI que conforma la sala de datos.

Si el vendedor decide utilizar los servicios de un proveedor externo, será necesario primero celebrar un acuerdo de procesamiento de datos personales con dicho proveedor, ya que el proveedor de la sala de datos se convertirá en un procesador de datos. El acuerdo de procesamiento de datos personales debe ser concluido con el proveedor por la compañía comprada, ya que, en la mayoría de los casos, será el controlador de los datos personales en la sala de datos.

En el acuerdo de tratamiento de datos personales, será necesario ajustar el alcance de los datos personales divulgados a través de la sala de datos y acordar garantías sobre su protección, incluida su eliminación (eliminación del servidor) después del cierre de la sala de datos. No se puede olvidar la cuestión del país en el que se ubicarán los servidores de un proveedor externo y dónde se almacenarán los documentos para una revisión legal de diligencia debida. Si estos servidores se encuentran fuera de la UE, un proveedor de servicios externo debe proporcionar garantías de que los datos personales se transferirán a un tercer país únicamente de conformidad con el GDPR (generalmente se basan en normas corporativas vinculantes o cláusulas contractuales estándar). Un proveedor externo también debe estar obligado por la obligación de confidencialidad. Sin embargo, al celebrar el contrato de tratamiento de datos personales, ni el vendedor ni la empresa comprada se eximen por completo de la responsabilidad de proteger los datos personales almacenados en la sala de datos de un proveedor externo. Por lo tanto, es deseable que el proveedor de la sala de datos también se comprometa a indemnizar al vendedor y a la empresa comprada en caso de incumplimiento del acuerdo de tratamiento de datos personales.

Muchas compañías ponen a disposición datos personales para las necesidades de una revisión de diligencia debida a través de sistemas de almacenamiento en la nube comúnmente utilizados, como Dropbox, iCloud, Google Drive, OneDrive y / o uloz.to. Sin embargo, tal procedimiento no puede recomendarse a la luz del GDPR. Estos servicios, en la mayoría de los casos, no le permiten configurar un nivel suficiente de seguridad para los datos personales. En particular, el problema del intercambio de documentos es bastante problemático en sí mismo, ya que estos servicios generalmente no permiten establecer diferentes derechos para diferentes usuarios (por ejemplo, "documento de solo lectura"), eliminar documentos de los dispositivos de usuario de forma remota o registrar registros de usuarios. (por ejemplo, qué usuario ha obtenido acceso a un documento específico en la sala de datos).

Antes de establecer el acceso del comprador a la sala de datos, es conveniente llegar a un acuerdo con el comprador, que estipule las condiciones relativas a la divulgación de datos personales, incluida su protección durante la revisión de diligencia debida de la empresa comprada, y su liquidación posterior, especificando además el título y el propósito para el cual los datos personales serán utilizados por el comprador, y en los que se acordará la obligación de confidencialidad del comprador. Las condiciones de privacidad también se pueden incorporar a un acuerdo de confidencialidad que normalmente se celebra para transacciones de fusiones y adquisiciones, evitando así la necesidad de firmar dos contratos por separado. En el acuerdo, el comprador debe comprometerse a evitar que los datos personales sean revelados sin autorización a un tercero, debe haber asesores nombrados que tendrán acceso a la sala de datos, y el comprador debe garantizar la liquidación de los datos personales si la transacción no es completado con éxito. Si el comprador incumpliera el acuerdo, el comprador debería estar obligado a indemnizar al vendedor y a la compañía comprada por cualquier daño que se les haya causado en relación con dicho incumplimiento. Si un comprador tiene su domicilio social fuera de la UE, entonces el vendedor y el comprador deberán evaluar las condiciones en las que pueden transmitir datos personales fuera de la UE.

Además, es necesario considerar qué documentos que contienen datos personales pueden proporcionarse al comprador y sus asesores en el marco de una revisión de diligencia debida. El GDPR se basa en el principio de minimizar el manejo de datos personales. Este problema generalmente surge para contratos de trabajo y contratos de clientes con consumidores.

Si el vendedor y / o la empresa comprada no anonimizan, en la medida necesaria, los datos personales en contratos y otros documentos cargados en la sala de datos, p. por medio de su desmayo, están expuestos al riesgo de que la Office for Personal Data Protection les imponga una multa. La redacción de docenas, o incluso cientos, de contratos de empleo o de clientes puede llevar mucho tiempo y resultar bastante costosa. Como alternativa, es aconsejable proporcionar dentro del proceso de diligencia debida solo los contratos de muestra generalmente celebrados por la empresa comprada, junto con tablas agregadas y anónimas que contienen información comercial esencial para el comprador (por ejemplo, salarios, indemnización por despido, no competencia cláusulas, períodos de aviso, etc.) o desviaciones del contrato de muestra.

Se puede considerar que, en el marco de la debida diligencia, el comprador y sus asesores recibirían contratos con empleados o clientes clave en su totalidad, sobre la base del interés legítimo del comprador en conocer en detalle el estado de la empresa comprada y el términos de estos contratos esenciales. Sin embargo, el acceso a dichos contratos debe evaluarse de forma ad hoc, teniendo en cuenta el interés legítimo del comprador, la necesidad de divulgar los datos personales al comprador y la denominada prueba de proporcionalidad.

Por otro lado, el comprador debe ser consciente de que el GDPR puede establecer la obligación de información del comprador frente a los empleados, clientes y otras personas, tan pronto como sus datos personales en la sala de datos estén disponibles. En este caso, el comprador deberá informar a estas personas que procesa sus datos personales, y con qué fines lo hace. Como ambas partes generalmente insisten en una estricta confidencialidad al negociar una adquisición, debería interesar a todas las partes participantes divulgar al comprador un mínimo de datos personales a través de la sala de datos.

Los datos confidenciales sobre los empleados, como su estado de salud, afiliación sindical, etc., no pueden revelarse al comprador en absoluto.

Si la transacción no se completa con éxito, el vendedor o la empresa comprada tendrán la obligación de garantizar el cierre de la sala de datos y la liquidación de todos los datos personales a los que el comprador y sus asesores hayan tenido acceso. Esta obligación debe ser considerada tanto por el vendedor como por la compañía comprada antes de que se establezca la sala de datos.

La posición del comprador en la transacción de fusiones y adquisiciones

La información en la sala de datos es crucial para el comprador, por lo que puede juzgar con el cuidado de un administrador diligente si le resulta rentable completar la adquisición de la compañía comprada. El título del comprador para el procesamiento de datos personales en la sala de datos generalmente será un contrato con la compañía comprada, o el vendedor, o un interés legítimo del comprador en conocer el estado de la empresa y los riesgos que surgen de la misma. compra de la compañia El comprador debe ser consciente de que una vez que obtiene acceso a la sala de datos, se convierte en un controlador de los datos personales almacenados en la sala de datos, y estará obligado a cumplir con las obligaciones derivadas de la GDPR.

En particular, el comprador deberá establecer sus procesos internos para garantizar que ninguna persona no autorizada obtenga acceso a los datos personales en la sala de datos, priorizar un conjunto limitado de usuarios de la sala de datos, adoptar la política de privacidad necesaria, registrar cómo los datos personales en los datos de la sala se procesan y cumplen con las obligaciones adicionales derivadas de la GDPR.

Si los datos personales de los empleados y clientes de la compañía comprada, u otras personas, se incluyen en la sala de datos, se puede requerir que el comprador proporcione información a estas personas sobre la manera de su procesamiento de datos personales. Por lo tanto, se recomienda que los contratos de empleo y de clientes sean anonimizados. Si no es posible anonimizar los contratos de empleo y cliente, es aconsejable proporcionar al comprador un contrato de trabajo de muestra o un contrato de muestra del cliente con datos agregados anonimizados sobre los aspectos comerciales clave de los contratos celebrados.

Los requisitos anteriores, sin embargo, colocan una mayor demanda en el contenido de la documentación de la transacción. Los compradores y sus asesores deben, por lo tanto, exigir al vendedor que brinde garantías y garantías suficientemente amplias, especialmente con respecto al alcance de los documentos puestos a disposición, y los resúmenes anónimos relacionados en la sala de datos, la lista de todas las investigaciones de la compañía comprada por la Oficina de Protección de Datos Personales, incluidas las sanciones impuestas, la lista de todos los litigios realizados con los interesados ​​y la lista de todos los destinatarios de datos personales (por ejemplo, si los datos personales se comparten dentro de una franquicia o una inquietud). Estas nuevas garantías y garantías deben garantizar al comprador, en particular, que después de hacerse cargo de la compañía comprada, no descubrirá, por ejemplo, un contrato de empleo con un período de aviso inusualmente largo o con un pago por despido alto no estándar, o un contrato de cliente que no puede ser terminado por varios años después de la adquisición de la compañía. Los acuerdos con el cliente también pueden incluir un contrato de alquiler si el comprador no compra una empresa, sino un edificio de apartamentos o un bloque residencial.

Si la empresa comprada maneja una cantidad mayor de datos personales, el comprador no evitará llevar a cabo una revisión legal con un enfoque particular en el mapeo del proceso de manejo de datos personales en la compañía comprada. En la práctica, se referirá principalmente a la lista de clientes que la empresa comprada ha obtenido y mantiene para fines de comercialización, el consentimiento de los interesados, en particular los consumidores, para enviar comunicaciones comerciales directas y ofertas de marketing, perfiles de clientes, compartir datos de los empleados a través de un grupo, evaluación de los riesgos derivados del sistema actual de protección de datos personales en la empresa adquirida, y la obligación de designar a un oficial de protección de datos (DPO). En resumen, los asesores del comprador deberán verificar si la empresa comprada procesa los datos personales de acuerdo con el GDPR.

Dentro del mapeo de procesos de manejo de datos personales en la compañía comprada, puede, por ejemplo, mostrar que la compañía comprada nunca ha recibido el consentimiento de los clientes para enviar ofertas por correo electrónico y, por lo tanto, existe el riesgo de que la Oficina de Datos Personales La protección le impondrá una sanción. O puede mostrar además que los interesados no han otorgado a la empresa comprada su consentimiento para el procesamiento de sus datos personales, por lo que la empresa comprada debe eliminar toda su base de datos de clientes. O puede mostrar que, debido a la ausencia de consentimiento, no es posible transferir la base de datos del cliente propiedad del vendedor al comprador o a la compañía comprada como parte de la liquidación de la transacción. La transferencia de dicha base de datos de clientes no sería válida. Para las empresas del sector minorista, las violaciones de las obligaciones de GDPR podrían tener un impacto significativo en su valor.

Una vez concluida la transacción, el comprador, en cooperación con la empresa comprada y el vendedor, debe asegurarse de que se obtengan todas las autorizaciones y permisos necesarios para compartir datos personales en el marco de la conexión de los sistemas informáticos de la empresa comprada y del comprador. para que los datos personales no se filtren, y que el vendedor liquide los datos personales para los cuales no tiene un motivo legal para un procesamiento posterior.

GDPR y consecuencias para las transacciones de fusiones y adquisiciones en la República Checa

Tanto para el vendedor como para la empresa comprada, el GDPR trae nuevas obligaciones que deben tenerse en cuenta ya en la fase preparatoria de cada transacción. Esto significa, en particular, garantizar una sala de datos segura para dar acceso al comprador y sus asesores a los documentos, celebrar contratos con el proveedor de la sala de datos y el comprador, y preparar documentos anónimos, ejemplos de contratos y descripciones anonimizadas para compartir con el comprador y sus asesores.

Se debe prestar más atención al mapeo de los procesos de manejo de datos personales en la compañía comprada, si el valor de la compañía comprada depende de cómo utiliza los datos personales para sus actividades comerciales.

La necesidad de proteger los datos personales no solo surge en el llamado reparto de acciones, sino que también puede ser relevante en un llamado acuerdo de activos, donde el sujeto de la revisión puede ser el contrato de arrendamiento de la propiedad objeto de la transacción. . En algunos casos, la transacción no se puede estructurar como una transacción de activos cuando el GDPR generalmente excluye la transferencia de datos personales sin el consentimiento de las personas afectadas por el procesamiento de dichos datos personales. El consentimiento no específico para la divulgación de datos personales a terceros no se puede considerar como un consentimiento adecuado en virtud del GDPR, por lo que la transferencia de dichos datos personales puede considerarse no válida.

o más información, póngase en contacto con:

JUDr. Mojmír Ježek, Ph.D.
Socio director

ECOVIS ježek, advokátní kancelář s.r.o.
Betlémské nám. 6
110 00 Praga 1
correo electrónico: mojmir.jezek@ecovislegal.cz
www.ecovislegal.cz

Sobre ECOVIS ježek advokátní kancelář s.r.o.
El bufete ECOVIS ježek ejerce principalmente en el área de derecho mercantil, derecho inmobiliario, gestión de disputas, así como en derecho financiero y bancario, y brinda asesoramiento completo en todas las áreas, lo que lo convierte en una alternativa adecuada para clientes de oficinas de derecho internacional. . La dimensión internacional de los servicios prestados se garantiza a través de la experiencia pasada y mediante la cooperación con oficinas legales líderes en la mayoría de los países europeos, los Estados Unidos y otras jurisdicciones. Los miembros del equipo ECOVIS ježek cuentan con muchos años de experiencia en despachos de abogados internacionales y compañías tributarias internacionales, en la prestación de asesoramiento jurídico a corporaciones multinacionales, grandes empresas checas, pero también a empresas medianas y clientes individuales. Para obtener más información, vaya a www.ecovislegal.cz.

Este artículo ha sido traducido por Google translate.

Los comentarios están cerrados.