Dosare Juridice - GDPR

Atunci când un potențial investitor are în vedere achiziționarea unei afaceri, există numeroase aspecte ce trebuie luate în considerare, precum activele societății țintă (target-ul), aspectele financiare, know-how-ul sau potențialele litigii în care societatea era implicată. Printre astfel de elemente, aspectele ce țin de practicile de aplicare și implementare a cerințelor Regulamentului general privind protecția datelor (UE) 2016/679 (GDPR) pot constitui un element esențial de luat în considerare, în special în industriile care se bazează pe datele persoanelor fizice și în care bazele de date reprezintă un activ valoros al societății.

Acest articol își propune o prezentare comparativă (fără a fi exhaustivă) a câtorva aspecte interesante rezultate din aplicarea GDPR, care sunt influențate de mecanismul utilizat pentru achiziționarea unei societăți, mai exact asset deal, atunci când are loc o achiziție a activelor societății, sau share deal, atunci când are loc o achiziție a acțiunilor/părților sociale ale societății.

În cazul unei share deal

Aceasta înseamnă că, în lipsa unei înțelegeri a părților, răspunderea ar fi suportată indirect de noii acționari/asociați. În funcție de situația concretă și de iregularitățile identificate în procesul de due-diligence, pentru a-și limita expunerea, cumpărătorul poate avea în vedere includerea în documentele tranzacției a unor clauze de răspundere a vânzătorului pentru neregularitățile săvârșite înainte de perfectarea tranzacției (en. closing) care ar fi descoperite și sancționate de către autoritate după closing. În absența unor astfel de clauze, sau alături de acestea, potențiala expunere pe GDPR, precum și costurile aferente aducerii la conformitate a activităților de prelucrare vor trebui luate în calcul la stabilirea prețului de achiziție și, dacă este cazul, la stabilirea unei prag de limitare a răspunderii. Nu în ultimul rând, în cazul societăților care se bazează mult pe încrederea consumatorilor, riscul reputațional în eventualitatea unui incident de încălcare a securității datelor va trebui luat de asemenea în calcul.

Astfel, este important ca alocarea riscului și întinderea răspunderii să fie reglementate cât mai detaliat în documentele tranzacției. În industriile în care prelucrarea datelor este strâns legată de activitățile principale ale target-ului, poate fi avută în vedere includerea unor reprezentări și garanții legate de: (i) confirmarea faptului că societatea a desfășurat activitățile de prelucrare a datelor personale în conformitate cu prevederile legale și contractuale aplicabile, dar și cu politicile de confidențialitate comunicate persoanelor vizate; (ii) absența oricăror proceduri de investigație din partea autorităților pentru încălcări ale cerințelor GDPR; (iii) absența oricăror restricții la nivelul target-ului de a divulga, distribui sau utiliza datele personale colectate de către target; sau (iv) inexistența unor incidente de încălcare a securității datelor până la momentul closing-ului (sau, în funcție de structura tranzacției, până la alt moment în care cumpărătorul dobândește controlul asupra datelor).

Cu toate acestea, pentru societățile în care au loc prelucrări de date numeroase și complexe, trebuie avut în vedere faptul că un proces de due-diligence complet asupra aspectelor de GDPR ar putea presupune o perioadă însemnată de timp, iar neregularitățile care sunt dezvăluite cumpărătorului sau sunt identificate de acesta și nu sunt tratate în documentele tranzacției, ar putea fi considerate ca asumate de către cumpărător.

În cazul unei asset deal

În plus, trebuie să fie luate în considerare angajamentele pe care target-ul și le-a asumat prin politicile de confidențialitate/notele de informare pe care le-a comunicat persoanelor vizate și care ar putea să interzică/limiteze maniera în care datele personale pot fi transferate ca parte a activelor societății. Un angajament al target-ului în sensul că nu va vinde sau transfera în nicio situație datele către terțe persoane, în afara celor indicate expres, poate constitui un obstacol în cazul în care potențialul cumpărător al afacerii nu este enumerat printre destinatari. O practică legată de divulgarea datelor în contextul unei tranzacții de tipul asset deal, în condițiile existenței unui astfel de angajament în politica de confidențialitate, am identificat însă doar în jurisdicții precum SUA sau Germania. De exemplu în SUA, într-o astfel de situație, transferul datelor a fost permis sub condiția respectării în continuare de către cumpărător a politicilor de confidențialitate deja comunicate de către vânzător și a oferirii posibilității pentru anumiți clienți ai vânzătorului de a refuza transferul (en. opt-out).

Chiar dacă prelucrarea datelor în contextul activităților de marketing nu are neapărat întotdeauna ca temei legal consimțământul, în contextul unei tranzacții, acest temei poate avea cele mai multe implicații.

În cazul unei share deal

Este importantă verificarea temeiului legal în baza căruia target-ul transmite comunicările de marketing către persoanele fizice și, atunci când temeiul este consimțământul, dacă acesta a fost obținut în mod valabil. În cazul unei share deal, neavând loc o schimbare a operatorului de date, dacă acordurile au fost obținute valabil, societatea va putea trimite în continuare comunicări de marketing către baza sa de date și după perfectarea tranzacției.

În cazul în care în cadrul analizei de due-diligence, potențialul cumpărător constată că societatea target nu a obținut în mod valabil acordurile pentru marketing, dacă baza de date de marketing reprezintă o parte importantă a activelor target-ului, poate fi avută în vedere introducerea unei condiții suspensive în documentele tranzacției prin care vânzătorul să se oblige la remedierea situației.

În cazul unei asset deal

În această ipoteză, dacă baza de date către care se trimit comunicări de marketing face parte dintre activele transferate, se poate considera că în urma încheierii tranzacției va avea loc o schimbare a operatorului de date (societatea care va prelucra datele fiind diferită). În consecință, trebuie luat în considerare faptul că, în general, va trebui obținut din nou acordul persoanelor pentru prelucrarea datelor în scopuri de marketing de către cumpărător, în calitatea sa de nou operator, chiar dacă fostul operator (societatea target) deținea un consimțământ valabil înainte de tranzacție. Autoritatea de supraveghere din UK (ICO) consideră că pentru a se putea baza pe consimțământul pentru prelucrare obținut de o altă entitate, noua entitate trebuie să fi fost numită și identificată expres la momentul obținerii, în practică fiind puțin probabil ca potențialul cumpărător să fi fost menționat anticipat de către vânzător la colectarea consimțământului.

În cazul unei share deal

Întrucât nu va avea loc o schimbare propriu-zisă a operatorului, de principiu, cumpărătorul nu ar trebui să refacă politicile de confidențialitate/notele de informare ale target-ului. Cu toate acestea, dacă au loc schimbări ale modului de prelucrare a datelor odată cu încheierea tranzacției (cum ar fi spre exemplu atunci când datele angajaților vor fi transferate către societăți din grup în noi țări din afara UE), societatea va trebui să își îndeplinească din nou obligația de informare.

În plus, dacă cumpărătorul va dori să utilizeze datele în alte scopuri, diferite față de scopurile în care acestea erau prelucrate de către target, atunci va trebui să efectueze o analiză pentru a determina dacă acest nou scop este compatibil cu scopul anterior, în sensul cerințelor GDPR, înainte de a se angaja în aceste noi activități.

În cazul unei asset deal

Ca un ultim aspect ce trebuie avut în vedere în legătură cu obligația de informare, evidențiem faptul că, întrucât cumpărătorul nu a obținut datele în mod direct de la persoanele vizate, ci de la vânzător, acesta va trebui să indice și sursa de unde a colectat respectivele date.

Odată perfectată tranzacția, atenția cumpărătorului față de datele personale primite în urma achiziției nu trebuie diminuată, ci există aspecte care trebuie în continuare luate în considerare. Astfel, vor trebui avute în vedere aspectele practice legate de integrarea activităților preluate, inclusiv a activităților de prelucrare a datelor cu caracter personal, asigurarea respectării continue a principiilor și cerințelor GDPR inclusiv cu privire la activitățile de prelucrare de date preluate în urma tranzacției, posibil reevaluarea anumitor prelucrări de date efectuate de societatea target (de exemplu, în privința duratelor de stocare sau a respectării principiului reducerii la minim a datelor prelucrate) sau chiar reevaluarea unor relații contractuale (încheiate, de exemplu, cu persoanele împuternicite care prelucrează date în numele societății target sau cu operatorii asociați).