Por qué la responsabilidad RGPD es el riesgo M&A más subestimado
Cuando los profesionales de M&A evalúan el riesgo de una operación, generalmente se centran en las contingencias financieras, operativas y jurídicas, en ese orden. El cumplimiento del RGPD suele ser un ejercicio de marcar casillas en las etapas finales de la due diligence.
Este es un error estructural con consecuencias financieras cada vez más graves. Bajo el RGPD, las multas pueden alcanzar 20 M€ o el 4% de la facturación anual mundial. Tras una adquisición, el adquirente hereda íntegramente la responsabilidad RGPD de la empresa objetivo. No existe ningún principio de ruptura limpia en materia de protección de datos.
El Comité Europeo de Protección de Datos ha dejado claro que un cambio de control no afecta la responsabilidad continua de un responsable del tratamiento. Si la empresa objetivo procesaba datos personales ilegalmente antes del cierre, el adquirente se convierte en responsable de ese tratamiento ilícito desde el primer día.
Qué ocurre con los datos tras el cierre
El cierre desencadena una serie de eventos relacionados con los datos que la mayoría de los marcos SPA no están diseñados para gestionar:
→ Transferencia del estatus de responsable del tratamiento. El adquirente se convierte en el responsable del tratamiento de todos los datos personales en poder de la empresa objetivo. Si los avisos de privacidad no contemplaban un cambio de control, el tratamiento continuo puede carecer de base jurídica válida.
→ Desencadenantes de transferencias transfronterizas. En las adquisiciones transfronterizas, los datos legalmente en poder de una jurisdicción pueden ser accesibles a entidades en otra. Sin garantías adecuadas (CCT, BCR o decisiones de adecuación), esto constituye una transferencia ilícita.
→ Herencia de contratos de encargado del tratamiento. Los acuerdos de tratamiento de la empresa objetivo con encargados de terceros son heredados por el adquirente. Si no cumplen el artículo 28 del RGPD, el adquirente incumple inmediatamente.
Las 5 cláusulas RGPD que faltan en la mayoría de los SPAs
Garantía del registro de actividades de tratamiento
La mayoría de los SPAs garantizan que la empresa objetivo «cumple con la legislación aplicable en materia de protección de datos» — una garantía tan amplia que es prácticamente inaplicable. Un SPA correctamente redactado debería incluir una garantía específica de que la empresa mantiene un RAT (Registro de Actividades de Tratamiento) preciso conforme al artículo 30, con una declaración de que estaba actualizado en la fecha de firma.
Declaración sobre la base jurídica del tratamiento
La empresa objetivo debería declarar, para cada categoría de datos personales tratados, la base jurídica específica del artículo 6 (y del artículo 9 para categorías especiales). Sin esta declaración, el adquirente no puede evaluar si el tratamiento continuo post-cierre es lícito.
Historial de notificaciones de brechas de datos
El RGPD exige la notificación de brechas en un plazo de 72 horas. Las empresas objetivo frecuentemente tienen incidentes no notificados clasificados internamente como no notificables. Una indemnización específica que cubra los fallos de notificación previos al cierre es esencial.
Indemnización por cumplimiento de los derechos de los interesados
Las empresas objetivo con grandes conjuntos de datos de consumidores suelen tener pendientes solicitudes de acceso, supresión y portabilidad no atendidas en el plazo legal. Cada solicitud incumplida es una infracción separada. Una indemnización que cubra el incumplimiento previo al cierre debería ser estándar.
Certificación del mecanismo de transferencia transfronteriza
Si la empresa objetivo transfiere datos personales a terceros países, el SPA debería incluir una declaración de que existen mecanismos de transferencia válidos y una indemnización que cubra las CCT invalidadas por Schrems II o decisiones posteriores.
Exposición real: empresas sancionadas tras una adquisición
El historial regulatorio es claro: las autoridades de supervisión no conceden períodos de gracia post-adquisición.
Marriott / Starwood
Multa de 99 M£ de la ICO por una brecha ocurrida antes de la adquisición y heredada post-cierre. Marriott no realizó una due diligence RGPD adecuada antes de adquirir Starwood.
British Airways
Multa de 20 M£ por una brecha que involucró sistemas y prácticas anteriores a la fecha de aplicación del RGPD — demostrando que los reguladores evalúan las prácticas de forma holística.
Fallos de notificación post-cierre
Varias acciones en Francia, Alemania y los Países Bajos afectaron a adquirentes que no emitieron nuevos avisos de privacidad a los interesados tras un cambio de control.
Checklist de due diligence para el cumplimiento del RGPD
Una checklist mínima de due diligence RGPD para adquisiciones transfronterizas que involucren datos personales europeos:
Análisis RGPD integrado
JuristVault detecta automáticamente la exposición al RGPD.
Cada análisis de SPA incluye señales de cumplimiento RGPD, cláusulas faltantes y evaluación de riesgos de transferencia transfronteriza.
Comenzar prueba gratuita