La nueva LOPD esclarece los tratamientos de datos en las 'due diligence'
16 de marzo de 2019
La nueva LOPD esclarece los tratamientos de datos en las 'due diligence'
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (LOPD) no sólo ha adaptado el ordenamiento jurídico nacional al Reglamento General de Protección de Datos (RGPD), sino también ha introducido aclaraciones que ayudarán a responsables y encargados de tratamiento a llevar a cabo operaciones de tratamiento con mayor seguridad jurídica.
Este es el caso de los tratamientos de datos personales realizados en el marco de procesos de due diligence, siendo que la nueva LOPD prevé, por fin y expresamente, la licitud de estos tratamientos.
El intercambio de información personal que se produce entre entidades participantes previamente a la culminación de una operación societaria o de compraventa de empresa es evidente. Así, para que el comprador, absorbente o cesionario de una rama de actividad -bajo el título que sea-, tenga un buen conocimiento de la entidad que se dispone a comprar, absorber, o recibir en virtud de la correspondiente transmisión, el acceso a datos personales relativos a trabajadores, clientes y proveedores puede presentarse como un factor determinante para el buen fin de la operación.
El ya derogado Reglamento de desarrollo de la también derogada LOPD del año 1999 establecía una ficción jurídica aplicable para operaciones de modificación estructural o transmisiones de negocio o rama de actividad según la cual, una vez formalizada la operación societaria, se permitía continuar con el tratamiento originalmente realizado por el anterior responsable, siendo que la comunicación de datos a favor del nuevo responsable resultante de la operación no se consideraba como una cesión de datos. Por consiguiente, no era necesario contar con el consentimiento de los interesados, sino que bastaba con informarles sobre la sucesión en la condición del responsable de sus datos.
Ahora bien, ¿qué ocurría en la práctica cuando, por ejemplo, la entidad absorbente en una fusión pretendía tener acceso a datos personales de la entidad absorbida antes de la ejecución de la operación? En mi opinión, esta situación generaba problemas, máxime cuando este tratamiento resultaba necesario para la efectiva culminación de la operación, pues no quedaba claro si el acceso a datos por parte del nuevo responsable tenía cabida antes de concluir la operación.
Ello dio lugar a la emisión de varios informes por parte de la Agencia Española de Protección de Datos (AEPD) en los que declaró la viabilidad del acceso previo a los datos personales (véase el informe número 518/2009, donde en el marco de una fusión iniciada y no concluida, se permite el acceso de la entidad absorbente a datos de la entidad absorbida para permitir la integración de los sistemas de información de ambas entidades; en el mismo sentido, véase el informe número 194/2017 que analiza el Anteproyecto de la actual LOPD).
En la nueva LOPD, el legislador nacional ha querido hacerse eco de estos pronunciamientos de la AEPD. En efecto, el artículo 21.1 presume lícitos los tratamientos de datos derivados de cualquier operación de modificación estructural o la aportación o transmisión de negocio o de rama de actividad empresarial, incluida su comunicación previa.
Ciertamente, y en base a la causa de licitud del interés legítimo, se permiten las comunicaciones de datos antes de la consecución de la operación, pues el legislador entiende que resultan necesarias para el buen fin de la operación e incluso pueden garantizar la continuidad de los servicios que pudieran prestarse a los interesados. Por lo tanto, podemos afirmar que el acceso a datos en el marco de las due diligence que conlleva la transmisión de datos de la empresa cedente a la empresa cesionaria puede entenderse amparado por este nuevo precepto.
No obstante, debe tenerse en cuenta que en tanto no concluya la operación, no será posible que la cesionaria de los datos los utilice para otra finalidad distinta de la correcta consecución de aquélla, lo que sólo será posible en el momento de su conclusión.
Por otra parte, nada dice la ley respecto la obligación de informar a los interesados sobre la comunicación de datos realizada en el marco de estos procesos, la cual -a mi juicio- sigue siendo igualmente aplicable. Ahora bien, si se considera que el cumplimiento del deber de informar puede afectar gravemente al logro de los objetivos de la comunicación de datos previa, entonces dicho deber no sería de obligado cumplimiento.
Por último, el artículo 21.2 de la nueva LOPD obliga a la entidad cesionaria de los datos a suprimirlos en caso de que la operación no llegue a buen fin. Y ello es totalmente lógico que sea sí, dado que el acceso a los datos habría quedado limitado a la finalidad indicada (el buen fin de la operación), sin posibilidad de que las entidades participantes puedan conservar información personal de otras.