Introducción
Hasta hace solo un par de décadas, la evaluación de cuestiones atinentes al manejo de datos personales era casi inexistente en el análisis jurídico de valuación y contingencias jurídicas previas a realizar una transacción de reestructuración, fusión o adquisición societaria (“M&A”). Y esto era lógico, por decirlo de algún modo, en tanto salvo por puntuales excepciones, casi no existían leyes particulares ni conflictos al respecto.
Durante los últimos quince años, particularmente desde el advenimiento de la llamada 4ta. Revolución industrial, las nuevas tecnologías crecieron hasta convertirse en un factor decisivo del desarrollo de prácticamente todos los negocios. Y el hecho de que estas tecnologías funcionen en base al procesamiento de datos personales generó conciencia acerca del valor de estos últimos y -consecuentemente- legislación específica sobre los mismos. Más de 130 países (incluyendo la mayoría de Sudamérica) cuentan ahora con normativa sobre datos personales, que continúa expandiéndose, regulando áreas y sectores específicos (finanzas, salud, seguros, inteligencia artificial, etc.).
Los datos pasaron a representar un activo fundamental de muchas compañías (en ocasiones el principal activo o el motivo primordial de una operación de M&A); y el modo en que los datos pueden tratarse -entendido en el sentido amplio que la legislación comparada le atribuye a este último término- adquiere consecuencias jurídicas muy concretas.
Así es que actualmente, en las transacciones de M&A el análisis jurídico de cuestiones de data privacy de la empresa ‘target’ resulta algo corriente y hasta imprescindible en cualquier ‘due diligence’ y operación mínimamente seria. Se trata de un análisis necesariamente transversal, que debe realizarse cualquiera sea el sector de la industria involucrado en este tipo de transacciones; y que generalmente debe complementarse con otras áreas del derecho (laboral, societario, bancario, etc.) pues todas ellas se ven impactadas por la normativa de datos personales.
Seguidamente mencionaremos, a muy grandes rasgos, consideraciones jurídicas esenciales sobre datos personales que, conforme nuestra experiencia, deben tenerse en cuenta en las operaciones de M&A. Lógicamente variarán según las particularidades específicas y la estructura de cada transacción (i.e. fusión, compraventa accionaria, adquisición de una unidad de negocios o fondo de comercio, etc). En cualquier caso, el propósito es reseñar los institutos conceptuales de data privacy (en Argentina conforme la Ley 25.326 de protección de datos Personales, “LPDP”) insoslayables en la etapa pre-negocial y en el ‘due diligence’ para una correcta evaluación de la empresa ‘target’.
Por una cuestión de limitación de espacio, dejaremos para una futura entrega las consideraciones sobre las cláusulas sobre datos personales para negociar e implementar en el contrato que efectivamente instrumente la M&A, así como las obligaciones ‘post closing’ más usuales de las partes al respecto.
Inicio de las negociaciones. Previsiones para el intercambio de información
Independientemente del tipo y forma de la potencial transacción, usualmente al comenzar las negociaciones las partes suscriben un documento mediante el cual expresan su intención de iniciar tratativas de intercambio de información con el fin de, en caso de llegar a un acuerdo, firmar los documentos que reflejen la transacción final. En este documento inicial (típicamente una ‘carta de intención’, ‘memorándum de entendimiento’ o similar) suelen incluirse propósitos ‘no vinculantes’ (suele llamárselos así por estar condicionados a que las partes acuerden los aspectos definitivos de la negociación iniciada) y cláusulas obligatorias. Entre estas últimas es común incluir cláusulas de no exclusividad, no competencia por un plazo determinado, cláusulas de no captación de empleados, jurisdicción y ley aplicable y, casi siempre, cláusulas de confidencialidad. Dentro de este tipo de cláusulas vinculantes, deberán incluirse cláusulas sobre el tratamiento de los datos que las partes habrán de intercambiarse y las obligaciones de cada una de ellas al respecto, en concordancia con la legislación de datos personales en las jurisdicciones involucradas, ya sea que se concluya o no el negocio inicialmente propuesto.
Es que las partes de la negociación comenzarán a intercambiarse información tendiente a concluir la misma. En general, la vendedora proveerá a la potencial compradora información de la empresa a ser adquirida, típicamente resumida en un ‘due diligence checklist’. Gran parte de esa información estará constituida por “datos personales”. En este punto cabe recordar que las empresas pueden ser “responsables” (“controllers”) de esas bases de datos, pero los titulares de tales datos son las personas físicas a las que se refiere esa información; y, esos titulares de datos probablemente ignoren este intercambio de sus datos entre las empresas de la potencial M&A.
Entonces, en esa carta de intención inicial, además de la típica cláusula de confidencialidad, deberán incluirse cláusulas vinculantes acerca del tratamiento de datos personales que se realizará durante la etapa negocial, considerando las regulaciones de las jurisdicciones involucradas. En primer lugar, deberá dejarse constancia de tales leyes aplicables y de las bases legales confirme a la cual el potencial vendedor brindará acceso a tales bases de datos al potencial comprador.
Respecto de las medidas de seguridad que se adoptarán para salvaguardar los datos personales compartidos, es práctica habitual que la empresa target ponga a disposición la información objeto del due diligence virtualmente, en un ‘data room’ virtual (“DRV”), con lo cual habrá que prever e implementar las medidas de ciberseguridad respecto del mismo; el encriptado de la información y datos personales incluidos en el DRV; las restricciones de acceso para dichos datos, circunscriptas únicamente a quienes intervengan en el ‘due diligence’ y solo con ese propósito; los contratos o cláusulas que habrá de incluir el potencial adquirente en los contratos con sus subcontratistas o proveedores intervinientes en la transacción que accedan a tales datos; y los distintos supuestos de responsabilidad en caso de un incidentes de seguridad de tales datos, fuga o acceso indebido a los mismos, previéndose las consecuencias para tales supuestos.
Además conviene dejar asentado en dicho documento la minimización de datos personales que el potencial vendedor (“responsable” de tales bases de datos) procurará en los documentos del DRV que tengan tales datos; la finalidad -acotada- que el potencial comprador le dará a tales datos; las restricciones operativas para copiar los mismos; el curso de acción a seguir en caso de recibir un pedido de acceso por parte de los titulares de los datos durante el lapso negocial; el tiempo durante el cual los mantendrá; y el modo y compromiso de destruir tales datos en caso de que no se concrete la transacción, así como la constancia de que tal destrucción se ha llevado a cabo y la inexistencia de copias de tales datos.
Corresponde tener presente que, en esta etapa pre-contractual y como principio general, si la transacción no se concluye por falta de acuerdo entre las partes respecto de los elementos esenciales de la misma (precio, plazo, bienes a adquirir, forma de pago, u otros aspectos) no habrá responsabilidad de las partes al respecto, salvo supuestos muy específicos de infracción al deber de buena fe (art. 990 CCCN). Pero desde el momento mismo que existe transferencia de datos personales de una parte a la otra, sí puede haber responsabilidad de las partes (incluso solidaria de ambas partes frente al titular del dato) por tratamiento indebido de los mismos; y esto conviene preverlo adecuadamente en el instrumento que formaliza el inicio de la negociación.
Auditoría (‘Due Diligence’) de la sociedad a adquirir. Aspectos de Datos Personales a relevar
Luego de instrumentarse el inicio de las negociaciones habitualmente comienza la auditoría (‘due diligence’) de la sociedad ‘target’, un proceso en el cual la parte potencialmente vendedora pone a disposición de la potencial compradora (comúnmente en un DRV) la información y documentación legal y contable de dicha sociedad -que lógicamente implica revelarle datos personales- para que la potencial compradora evalúe el status de la misma, sus contingencias y en función de ello el valor y los términos de la pretendida adquisición. Los ítems de la información a relevar suelen condensarse en un listado (‘due diligence checklist’) segmentado según las distintas áreas del derecho. Como decíamos al inicio, en la última década o un poco antes incluso, se ha agregado a ese checklist la sección de datos personales como un área en sí misma, que paradójicamente, resulta transversal e impacta en todas las demás, en tanto que todas implican el tratamiento de datos personales.
A continuación, algunos aspectos sobre data privacy que entendemos deberían incluirse en el ‘checklist’ y considerarse al implementar el due diligence sobre el target encomendado. Se trata de una enumeración genérica y enunciativa, pudiendo modificarse según los factores particulares de las empresas involucradas en la potencial M&A.
(a) Identificación de las bases de datos y de la legislación aplicable
Dos cuestiones básicas para iniciar un ‘data privacy due diligence’ son: Primero, identificar qué bases de datos maneja la empresa ‘target’ (datos de empleados, de consumidores, de proveedores, etc.), y qué tipo de datos incluyen las mismas (datos sensibles, datos financieros, datos de salud, etc.). No se puede analizar lo que no se puede ver. Lo segundo: identificar las leyes aplicables a tales datos (en la que pueden converger disposiciones de datos personales y de otras áreas, como sucede por ejemplo con los datos de empleados y/o los datos financieros; y que pueden y suelen ser más de una jurisdicción, máxime considerando el principio de extraterritorialidad establecido en varias legislaciones comparadas). En función de estas dos grandes variables se determinarán los siguientes pasos del due diligence.
(b) Inscripción en registro de bases de datos
En Argentina -como también en otras legislaciones comparadas- existe el deber legal de inscribirse en el “Registro de Bases de Datos” impuesto por la misma LPDP y su autoridad de aplicación (la “Agencia de Acceso a la Información Pública”, “AAIP”), cuya infracción genera sanciones. Es un trámite meramente formal, sencillo, fácil y gratuito de verificar y cuyo cumplimiento muestra de algún modo cierta diligencia en el manejo de bases de datos por parte de su responsable (puesto al revés, la falta de inscripción mostraría un desinterés del responsable por el cumplimiento normativo en materia de datos personales). En función de ello, es relevante verificar si la sociedad ‘target’ ha cumplido en debida forma con esta obligación registral formal.
(c) Políticas de privacidad
Las políticas de privacidad constituyen actualmente un ‘must’ para las empresas -cualquiera sea su tamaño- e incluso un requisito regulatorio en varias jurisdicciones. Sus términos tienen consecuencias y contingencias cada vez más concretas, extendiéndose desde la relación con consumidores y clientes hasta los deberes de los empleados de la empresa en el trato con la información que manejan y/o a la que tienen acceso. El alcance de los derechos y obligaciones de una empresa respecto de los datos que maneja en gran medida dependerá de la existencia o no de este tipo de políticas y de cómo han sido comunicadas a sus destinatarios. Por eso será conveniente en el ‘due diligence’ constatar la existencia o no de políticas de privacidad (es habitual por ejemplo que exista una política de privacidad para proveedores y/o clientes y otra distinta para empleados), el modo de comunicación de la misma, el alcance de sus términos y el grado de cumplimiento de lo establecido en dicha política.
(d) Bases legales para el tratamiento de los datos
¿De qué modo la empresa llegó a hacerse de los datos personales que maneja? ¿Obtuvo el consentimiento del titular de los datos o los recolectó en base a otros supuestos legales que la habilitan a este fin? ¿Esta ello documentado? ¿Tiene sustento legal?
Al realizar la auditoría de la empresa a adquirir, debemos considerar que el tratamiento de datos personales será lícito en tanto y en cuanto las partes involucradas en el mismo lo realicen basándose en un principio permitido por ley y los datos personales tratados sean solamente utilizados con la finalidad que motivó su recolección. La LPDP, al igual que casi toda la legislación comparada exige como principio general el consentimiento previo, escrito e informado del titular a tal efecto, pero existen muchas excepciones a este principio general que habilitan la validez legal de su tratamiento. De allí surge la trascendencia de corroborar si la empresa a adquirir efectuó – y efectúa- su tratamiento de datos de acuerdo a los principios de licitud del mismo, como también si el mismo se ajusta a las finalidades que habilitaron dicho tratamiento. El incumplimiento de las bases legales para el tratamiento puede derivar en procedimientos de oficio o en reclamos de los titulares de los datos (individuales o colectivos) y/o en la imposición de sanciones (a veces por altos montos) hacia el infractor por parte de la autoridad de aplicación. Para evaluar estas contingencias, conviene revisar la documentación de la empresa target formulándose las preguntas indicadas al inicio de este acápite.
(e) Contratos con encargados de tratamiento
Gran parte de los proveedores de la empresa a adquirir actuarán como “encargados de tratamiento” (‘data processors’) de dicha empresa, figura instituida en la mayoría de las legislaciones sobre datos personales. Estos actúan por cuenta y orden de la empresa que los contrata (“responsable de la base de datos” o “data controller”) y como tales tienen responsabilidades delimitadas por las leyes de datos personales, que muchas veces son complementadas por obligaciones contractuales adicionales. Consecuentemente, será determinante evaluar los contratos de la empresa ‘target’ con tales encargados de tratamiento y verificar si contienen cláusulas adecuadas en cuanto al propósito y manejo de tales datos, en especial considerando que el responsable de la base de datos (la empresa target) responde frente a terceros por eventuales falencias del encargado de tratamiento y sus eventuales sub-contratistas. En la legislación de diversas jurisdicciones, a los recaudos contractuales para proveedores (encargados de tratamiento) establecidos por la normativa de data privacy deben agregarse requerimientos regulatorios específicos para proveedores de la industria de que se trata (por ej., las entidades financieras y sus proveedores, para los cuales el BCRA ha emitido comunicaciones con diversos recaudos a cumplir en cuanto al procesamiento de datos). Estos requerimientos contractuales adquieren mayor complejidad cuando el proveedor es de una jurisdicción distinta a la de la empresa ‘target’), como se verá más adelante.
(f) Contratos con clientes
Algo similar a lo reseñado en el punto anterior sucede con los contratos con clientes, en los que -en los últimos años- suele haber cláusulas de datos personales (más o menos detalladas según sea el grado y sensibilidad de los datos intercambiados entre las partes). Naturalmente, cuando más y mejor detallado en el contrato se encuentre la finalidad de tratamiento, las medidas de seguridad adoptadas, los efectos en distintos supuestos que involucren a tales datos, etc., menores serán las potenciales contingencias.
(g) Transferencia internacional de datos
Casi todo el derecho comparado de data privacy trata separadamente las transferencias internacionales de datos personales. Con la incorporación de la tecnología e internet como factor indispensable del funcionamiento empresario (independientemente de tamaño y rubro de la empresa); y con el auge de la nube en particular (con datos almacenados en distintos servidores ubicados a lo largo de distintas jurisdicciones), las transferencias internacionales de datos ocurren constantemente, todos los días, casi sin que nos demos cuenta. Ello en nada obsta a que las empresas deben cumplir los recaudos regulatorios a tal efecto, so pena de ser sancionadas por tal incumplimiento. La mayor o menor rigurosidad de tales recaudos dependerá generalmente de que los países a donde se importen los datos tengan o no legislación ‘adecuada’ en materia de datos personales, lo cual es determinado por la legislación del país de la empresa exportadora.
Por eso, a los recaudos de los contratos con terceros comentados en las Secciones 3.(d) y 3.(e) del presente, deben agregarse los requerimientos para transferencias internacionales en la medida en que el tercero se encuentre en otra jurisdicción o que la operación suponga una transferencia transfronteriza de datos personales, en especial si se realizará con destino a países sin “legislación adecuada” de datos personales. El cumplimiento de estos requisitos adquiere mayor relevancia se la empresa a adquirir es parte de un grupo multinacional y/o mantiene relaciones contractuales con la Unión Europea u otras jurisdicciones que prevean la aplicación extraterritorial de sus leyes de datos personales.
(h) Medidas de seguridad de datos personales
La ciberseguridad es un aspecto central en materia de data privacy. En los últimos cinco años los ciberataques han proliferado enormemente, causando graves daños patrimoniales y reputacionales a la empresa atacada y a los titulares de los datos por los que esta debe responder. Este aspecto es receptado cada vez con mayor detalle por la legislación comparada, regulándose con mayor detalle las distintas medidas de seguridad a aplicar.
Entonces en el due diligence resultará clave constatar las medidas organizativas técnicas y administrativas que el responsable de la base de datos (la empresa ‘target’) adopta para intentar garantizar la seguridad e integridad de los datos personales objeto del tratamiento. Comenzando por el cumplimiento de los recaudos legales mínimos exigidos, e incluyendo revisión de controles de acceso, contraseñas, encriptado de datos sensibles, adquisición de productos de software específicos para este fin, realización de auditorías periódicas, contratación o no de pólizas de seguro para incidentes de ciberseguridad, políticas de continuidad en caso de siniestros, procedimientos seguros para el trabajo remoto, etc.
Un punto central reside en la existencia -o no- de una política de usos de sistemas de IT para los empleados (que a veces se encuentra dentro de la política de privacidad para estos últimos). Es que son los empleados de la empresa quienes -a través de dispositivos propios o provistos por la empresa- manejan los datos de la empresa, quienes tienen que cumplir las obligaciones de seguridad de estos últimos y también quienes (en su doble carácter de dependientes y de titulares de sus propios datos personales) son sujetos de supervisión al respecto por parte de la empresa, todo lo cual debería estar en esta política.
(i) Incidentes de seguridad de datos personales
Como correlato de lo señalado en el punto precedente debe revisarse en el due diligence: si la empresa ha sufrido incidentes de ciberseguridad durante los últimos años; si los ha reportado (a clientes, a los titulares de los datos, a la autoridad de aplicación de los datos personales, al seguro en caso de contar con una póliza al respecto); si ha formulado denuncias administrativas y/o judiciales al respecto; si existen reclamos pendientes en tal sentido; que tipo de datos han sido afectados; si se siguió el proceso regulatorio previsto por la ley al respecto; si existen protocolos internos que la empresa ha de seguir para el caso de que sucedan tales incidentes; y las medidas adoptadas para intentar evitar que se repitan ataques como los que ya se hubieran producido. En caso de que el vendedor manifieste la inexistencia ciberataques previos (algo común cuando los mismos no se hacen públicos), ello deberá quedar claramente asentado -con las indemnidades correspondientes- en el contrato que instrumente la M&A.
(j) Reclamos de titulares de datos y/o de terceros
Como cualquier reclamo contra la compañía, los reclamos de los titulares de los datos (i.e. para que se supriman, actualicen o modifiquen sus datos) constituyen una posible contingencia para la compañía destinataria de los mismo. Consecuentemente, habrá que constatar si existen, si fueron respondidos, si quedaron terminados etc. En líneas muy generales, este tipo de reclamos no suele constituir una contingencia de gran envergadura económica para la compañía, salvo que se trata de acciones de clase, que se trate de reclamos subsumidos dentro de otros reclamos que involucren otras cuestiones (laborales, societarias, etc.) o bien de denuncias ante la autoridad de aplicación, cuestión que veremos en el punto siguiente.
Es importante considerar que en muchos casos este tipo de reclamos debe analizarse a la luz de la normativa de datos personales juntamente con normas de otras áreas del derecho, dependiendo de quién provengan y/o a el tipo de datos objeto del pedido. Por ejemplo, si el reclamo proviene de un socio, habrá que analizar el derecho de información del socio previsto en la legislación societaria de la jurisdicción que se trate; si el reclamo proviene de un empleado o exempleado, habrá que analizarlo también bajo los preceptos de la ley de contrato de trabajo. También si revelar los datos del titular que se reclaman puede involucrar revelar otros datos que perjudicarían a terceros, que estén amparados por normativa de secreto profesional (i.e. de abogados, médicos) o que simplemente no son de titularidad de quien los pide. Este tipo de controversias es bastante común cuando se reclaman correos electrónicos (emails) remitidos por socios o empleados de la compañía, que además generalmente involucran a varias partes.
(k) Actuaciones ante la Autoridad de Aplicación de datos personales
La existencia y el estado de procesos administrativos activos ante la autoridad de aplicación son determinantes para evaluar las contingencias de la compañía, habida cuenta que de ellos pueden surgir sanciones para esta última. En el due diligence habrá que relevar su grado de avance y determinados parámetros (antecedentes de la compañía, normativa sobre graduación de sanciones) para prever la probabilidad de multas y su cuantía.
Debido al carácter transversal de la normativa de datos personales, habrá también que relevar si su eventual incumplimiento no ha suscitado (o podría suscitar) imputaciones de autoridades de otras áreas, como por ejemplo, de consumidor o laboral (casos que efectivamente han sucedido en Argentina) que tengan competencia concurrente para ese tipo de hechos.
(l) Evaluaciones de impacto de datos personales
Las legislaciones más modernas en materia de data privacy prevén la obligación de realizar “evaluaciones de impacto de datos personales” precio a la implementación de determinadas actividades o lanzamiento de ciertos productos considerados riesgosos o que puedan afectar una gran cantidad de datos o ciertas categorías de datos (i.e. datos sensibles). De ser este el caso en la jurisdicción aplicable a la potencial transacción habrá que relevar si tal evaluación fue efectuada de acuerdo en tiempo y forma de acuerdo a la normativa en cuestión; y en caso negativo las posibles sanciones por el incumplimiento.
Entrevistas
POSADAS
opinión
ver todosKabas & Martorell
Alchouron, Berisso, Balconi, Fernández Pelayo & Werner
Noetinger & Armando
Brons & Salas