LOS PROCESOS DE DUE DILIGENCE
Las operaciones societarias o compraventa de empresas, también conocidas como procesos due dilligence son objeto de la normativa vigente en Protección de Datos y, podemos decir con acierto, que por fin estamos ante un proceso lícito y regulado de forma expresa por la Ley en cuanto a la transmisión de datos que se realiza.
Procesos de compraventa
Cuando hablamos de procesos de due dilligence nos referimos al intercambio de información que se lleva a cabo en el proceso de absorción o compraventa de una empresa por otra.
El hecho de disponer de toda la información sobre la empresa que queremos comprar es vital para que la operación sea fructífera y llegue a buen puerto, teniendo en cuenta además que, hoy en día, los datos son el nuevo petróleo, (enlazar con el texto de Los datos personales, el nuevo petróleo) toda esa información es crucial para realizar una operación de esta magnitud con éxito.
Comprar una empresa con conocimiento es crucial, por ello el due dilligence debe abarcar absolutamente todo, inclusive la información de carácter personal que dispone la empresa que va a ser absorbida: datos de empleados, proveedores, clientes, etc., son vitales para concluir la operación con éxito, pues de nada sirve adquirir las participaciones de la empresa si no sabemos quién le suministra materias primas u otros servicios, a que coste; quienes son los empleados, determinados espectros relacionados con su situación y, en definitiva, todo lo referente a la Protección de Datos.
La transmisión de datos y su regulación en las compraventas o absorciones
La ya derogada LOPD 15/1999, de 13 de diciembre, y su Reglamente de desarrollo, en lo que se refiere a las transmisiones de negocios o compraventa de los mismos, establecía que en lo referente a los datos que disponía la empresa absorbida, estos serían transmitidos una vez formalizada la operación. En este sentido, había una situación jurídica ficticia ya que la transmisión o transferencia de datos personales quedaba fuera del proceso due dilligence. No podíamos hablar de cesión de datos al permitir que el nuevo Responsable del tratamiento siguiera con la actividad con la única obligación de informar de ello a los interesados, pero en ningún apartado se establecía si el nuevo Responsable podía conocer quiénes son esos interesados hasta que no completase la operación de absorción o compraventa. Ahora bien, una vez efectuada definitivamente la operación, su única obligación era informar sobre la nueva situación, sin necesidad de solicitar el consentimiento.
En cualquier caso, la Agencia Española de Protección de Datos (en adelante, AEPD) se pronunció alguna que otra vez sobre este asunto, permitiendo el acceso a los datos personales antes de llevarse al cabo el procedimiento de compra o absorción de la empresa, sin embargo, seguiríamos sin disponer del precepto normativo que regulase de forma precisa el modo de proceder.
Las due dilligence en la LOPD-GDD
Con la entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (LOPD-GDD), en cuanto a la adaptación nacional a la normativa europea en materia de Protección de Datos (el tan famoso RGPD), ofrece la solución y aclaraciones para que los datos personales que sean objeto de un proceso due dilligence, se realicen de forma segura y con garantías jurídicas.
Algunas de las resoluciones de la AEPD que hemos mencionado antes se incluyeron en el anteproyecto de la LOPD-GDD, que junto a otras controversias, han desembocado en el artículo 21.1 de la nueva Ley. Este artículo establece como lícitos todos los tratamientos de datos personales que se realicen en el marco de una operación societaria de compraventa de empresas o absorción de una por otra, incluida la comunicación previa de aquellos. La base jurídica es el interés legítimo, indudablemente, pero teniendo en cuenta la precaución de que los datos jamás podrán utilizarse para una finalidad distinta hasta que no se produzca la operación con carácter definitivo. Por lo tanto, ahora si disponemos de un precepto legal que ampara la comunicación de datos personales en procesos de due dilligence con carácter previo a la consecución de la operación.
La otra obligación del citado artículo, como ocurre con otros preceptos de la LOPD-GDD y el mismo RGPD, es la eliminación de forma definitiva de aquellos datos que no resulten necesarios para la consecución de un determinado fin. En concreto, el 21.1 LOPD-GDD obliga a la empresa cesionaria a suprimirlos si la operación de compraventa o absorción de la entidad no se materializa, lo que resulta lógico y evidente.
El consentimiento y deber de información
El consentimiento no es necesario, pero ¿qué ocurre con el deber de informar? Nada se dice al respecto, pero debe entenderse como algo implícito e inherente al proceso de due dilligence, pues tanto la LOPD-GDD y el RGPD establecen el deber de información como principio básico para la licitud del tratamiento. Pese a no especificarse, el deber de información es aplicable y extensible a cualquier clase de tratamiento de datos de carácter personal, en cualquier ámbito y sobre cualquier materia.
