Unul dintre aspectele tranzacțiilor de M&A care a dobândit o importanță sporită odată cu aplicarea în România a Regulamentului general privind protecția datelor (UE) 2016/679 (GDPR), privește protecția datelor cu caracter personal, mai concret cum poate fi asigurată și implementată respectarea obligațiilor prevăzute de GDPR de către părțile implicate într-o astfel de tranzacție. Acest articol își propune să prezinte implicațiile practice ale GDPR cel mai des întâlnite în pregătirea tranzacțiilor de M&A, cu accent pe transferul datelor în cadrul procesului de due-diligence.

Raluca Puscas, Diana GavraFoto: Filip & Company

Principalele implicații pentru vânzător

Acordul de confidențialitate

În cadrul procesului de due-diligence, vânzătorul va trebui să se asigure că orice date cu caracter personal ce s-ar putea regăsi în documentele puse la dispoziția potențialilor cumpărători sunt protejate și nu vor fi folosite de către aceștia în alte scopuri în afara analizei de due-diligence, implicit că acordul de confidențialitate încheiat cu fiecare dintre potențialii cumpărători acoperă și obligațiile legate de protecția datelor personale. Printre altele, acordul ar trebui să cuprindă obligația de a folosi datele personale doar în scopul procesului de due-diligence, în vederea tranzacției și nu în alte scopuri proprii ale potențialului cumpărător, obligația de a returna sau distruge orice date personale în cazul în care negocierile sunt întrerupte/încetate, obligația de a asigura securitatea datelor accesate și obligația de a nu divulga datele în țări din afara Uniunii Europene (UE) sau a Spațiului Economic European (SEE).

Dacă potențialul cumpărător este situat într-o țară din afara UE/SEE, aceasta determină o verificare adițională din partea vânzătorului și poate implica încheierea unor documente suplimentare, pentru a se asigura că transferul este însoțit de garanții adecvate în sensul GDPR. Spre exemplu, o primă verificare ar fi dacă țara unde sunt divulgate datele se află pe lista Comisiei Europene de țări recunoscute că asigură un nivel adecvat de protecție a datelor cu caracter personal. În cazul unui răspuns afirmativ, nu vor fi necesare formalități suplimentare din acest punct de vedere. Un alt exemplu: dacă potențialul cumpărător este situat în SUA, ar trebui verificat dacă acesta este parte a Scutului de Confidențialitate UE-SUA (EU-U.S. Privacy Shield). Evoluția acestui mecanism de auto-certificare va trebui urmărită cu atenție, întrucât recent Parlamentul European a solicitat Comisiei Europene (printr-o rezoluție fără caracter obligatoriu), suspendarea sa până când SUA va asigura respectarea standardelor UE pentru protecția datelor de către societățile parte la mecanism. În funcție de rezultatul verificărilor efectuate asupra garanțiilor ce stau la baza transferului de date, este posibil să apară necesitatea încheierii cu potențialul cumpărător a unor clauze standard de protecție a datelor (conform modelelor adoptate de Comisia Europeană), în plus față de acordul de confidențialitate.

Impactul nerespectării obligațiilor referitoare la transferul către țări terțe este cu atât mai important pentru vânzător, întrucât dacă acesta nu asigură garanțiile pentru protecția datelor, răspunderea și riscul de amendă în baza GDPR va fi suportat de acesta.

Camera de date electronica (VDR) în pregătirea procesului de due-diligence

Ce informații mai pot fi cuprinse în VDR odată ce GDPR a devenit aplicabil?

Pe scurt, doar cele strict necesar a fi divulgate potențialului cumpărător pentru desfășurarea procesului de due-diligence și pentru analiza riscurilor tranzacției. De la caz la caz, în baza principiului reducerii la minimum a datelor, ar trebui limitat accesul la date sau acestea ar putea fi puse la dispoziție în format confidențializat, cum ar fi în situația datelor cu caracter personal din contractele de muncă (cu excepția cazurilor când dezvăluirea acestora este necesară în cadrul procesului de due-diligence, spre exemplu în cazul unor angajați cheie ai vânzătorului), a datelor din autorizații, permise sau alte documente (în măsura în care nu sunt necesare pentru verificarea legalității documentului de către potențialul cumpărător) ori a datelor sensibile, precum datele de sănătate sau apartenența la sindicat a angajaților. Alte măsuri care pot fi luate includ punerea la dispoziție doar a unor modele ale anumitor tipuri de contracte care sunt similare și în care au fost confidențializate datele cu caracter personal sau amânarea divulgării anumitor date spre finalul procesului, când se pregătesc semnarea și predarea pachetului final de documente, iar încheierea tranzacției are un grad mai ridicat de certitudine.

Relația cu furnizorul extern de servicii de VDR

În general, furnizorul care pune la dispoziție camera de date poate fi considerat că acționează ca persoană împuternicită a vânzătorului, cu care va trebui încheiat un acord de prelucrare a datelor având conținutul reglementat de GDPR, înainte de încărcarea documentelor în VDR. O altă recomandare este ca vânzătorul să verifice unde sunt situate serverele pe care sunt stocate documentele din VDR, întrucât în cazul în care acestea sunt situate într-o țară terță, va trebui avută în vedere asigurarea garanțiilor adecvate pentru transferul datelor prezentate mai sus. În plus, vânzătorul ar trebui să efectueze o verificare preliminară a furnizorilor externi de servicii de VDR, astfel încât să se asigure că va utiliza doar serviciile acelor furnizori care oferă garanții suficiente de securitate a datelor.

Temeiul transferului datelor în contextul tranzacției

Întrucât și transferul datelor personale reprezintă o operațiune de prelucrare în sensul GDPR, vânzătorul va trebui să identifice temeiul juridic în baza căruia va efectua acest transfer. În general, în acest tip de tranzacții, un consimțământ valabil în sensul GDPR ar putea fi dificil sau chiar imposibil de obținut și ar prezenta dificultăți practice în implementare, în special datorită faptului că de multe ori existența intenției de vânzare și desfășurarea procesului de due-diligence devin publice doar în etapele finale ale tranzacției. Astfel, considerăm că ar putea fi conturat un interes legitim al vânzătorului pe care să se întemeieze transferul, dacă acesta trece testul de echilibru conform cerințelor GDPR, în sensul ca interesul legitim să prevaleze asupra intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate. Și din acest motiv, este deosebit de importantă luarea unor măsuri precum cele exemplificate mai sus, incluzând minimizarea accesului la date, necesitatea prelucrării doar pentru realizarea scopului propus sau măsurile de securitate adoptate.

Îndeplinirea obligațiilor de informare legate de transfer

De multe ori, din motive comerciale, intenția de a face obiectul unui proces de vânzare nu este divulgată de către societate decât în stadiile finale ale tranzacției, astfel încât aspectele legate de informarea de către vânzător a persoanelor vizate ale căror date vor fi transferate în scopul procesului de due-diligence trebuie tratate de la caz la caz. Acestea se află în strânsă legătură cu cele deja menționate mai sus, o atenție deosebită necesitând analiza categoriilor de persoane vizate, modul cum au fost obținute datele (direct de la persoana vizată sau din alte surse - putând fi identificate eventual excepții de la obligația de informare), natura datelor transferate și în ce măsură datele puse la dispoziția potențialilor cumpărători au putut fi confidențializate. În acest sens, este recomandabilă includerea inițială în notele de informare pe care vânzătorul le transmite în mod obișnuit diverselor categorii de persoane vizate, a unei mențiuni legate de un potențial transfer al datelor în cazul unei tranzacții viitoare.

Implicații pentru cumpărător

Din perspectiva cumpărătorului, în decursul procesului de due-diligence, un aspect important este ca acordul de confidențialitate încheiat cu vânzătorul să cuprindă o declarație prin care vânzătorul să confirme faptul că are dreptul de a divulga datele puse la dispoziție în procesul de due-diligence și că a îndeplinit toate formalitățile cerute de GDPR în acest sens. Dacă și cumpărătorul, la rândul său, va transmite date către vânzător, este necesar ca obligațiile să fie reciproce. De asemenea, cumpărătorul trebuie să implementeze măsuri tehnice și organizatorice adecvate pentru a asigura respectarea obligațiilor asumate cu privire la prelucrarea datelor personale în cadrul procesului de due-diligence.

Aspecte suplimentare

Dincolo de aspectul realizării procesului de due–diligence, odată ce cumpărătorul a analizat punctele forte și punctele slabe ale afacerii pe care intenționează să o achiziționeze, un alt aspect important pe care părțile trebuie să îl determine este structura pe care o va avea tranzacția. Mai multe detalii despre implicațiile pe care îndeplinirea obligațiilor prevăzute de GDPR le poate avea în determinarea modului de structurare a tranzacției vor fi tratate într-un articol viitor.

Un articol semnat de Raluca Puscas, Counsel și Diana Gavra, Associate