Atunci când un potențial investitor are în vedere achiziționarea unei afaceri, există numeroase aspecte ce trebuie luate în considerare, precum activele societății țintă (target-ul), aspectele financiare, know-how-ul sau potențialele litigii în care societatea era implicată. Printre astfel de elemente, aspectele ce țin de practicile de aplicare și implementare a cerințelor Regulamentului general privind protecția datelor (UE) 2016/679 (GDPR) pot constitui un element esențial de luat în considerare, în special în industriile care se bazează pe datele persoanelor fizice și în care bazele de date reprezintă un activ valoros al societății.

Raluca Puscas, Diana GavraFoto: Filip & Company

Într-un articol anterior, am prezentat implicațiile GDPR în procesul de due-diligence derulat în cadrul unei tranzacții, însă impactul Regulamentului se extinde și asupra etapelor ulterioare, în special asupra structurii pe care o va avea tranzacția.

Acest articol își propune o prezentare comparativă (fără a fi exhaustivă) a câtorva aspecte interesante rezultate din aplicarea GDPR, care sunt influențate de mecanismul utilizat pentru achiziționarea unei societăți, mai exact asset deal, atunci când are loc o achiziție a activelor societății, sau share deal, atunci când are loc o achiziție a acțiunilor/părților sociale ale societății.

1. Răspunderea pentru practicile GDPR ale target-ului

În cazul unei share deal

Având în vedere că în acest tip de tranzacții are loc o schimbare a acționarilor/asociaților societății, fără a avea loc și o schimbare a personalității juridice a entității care prelucrează datele și care are calitate de operator de date, se poate considera că răspunderea în baza GDPR, pentru practicile anterioare ale societății, rămâne în sarcina acesteia.

Aceasta înseamnă că, în lipsa unei înțelegeri a părților, răspunderea ar fi suportată indirect de noii acționari/asociați. În funcție de situația concretă și de iregularitățile identificate în procesul de due-diligence, pentru a-și limita expunerea, cumpărătorul poate avea în vedere includerea în documentele tranzacției a unor clauze de răspundere a vânzătorului pentru neregularitățile săvârșite înainte de perfectarea tranzacției (en. closing) care ar fi descoperite și sancționate de către autoritate după closing. În absența unor astfel de clauze, sau alături de acestea, potențiala expunere pe GDPR, precum și costurile aferente aducerii la conformitate a activităților de prelucrare vor trebui luate în calcul la stabilirea prețului de achiziție și, dacă este cazul, la stabilirea unei prag de limitare a răspunderii. Nu în ultimul rând, în cazul societăților care se bazează mult pe încrederea consumatorilor, riscul reputațional în eventualitatea unui incident de încălcare a securității datelor va trebui luat de asemenea în calcul.

Astfel, este important ca alocarea riscului și întinderea răspunderii să fie reglementate cât mai detaliat în documentele tranzacției. În industriile în care prelucrarea datelor este strâns legată de activitățile principale ale target-ului, poate fi avută în vedere includerea unor reprezentări și garanții legate de: (i) confirmarea faptului că societatea a desfășurat activitățile de prelucrare a datelor personale în conformitate cu prevederile legale și contractuale aplicabile, dar și cu politicile de confidențialitate comunicate persoanelor vizate; (ii) absența oricăror proceduri de investigație din partea autorităților pentru încălcări ale cerințelor GDPR; (iii) absența oricăror restricții la nivelul target-ului de a divulga, distribui sau utiliza datele personale colectate de către target; sau (iv) inexistența unor incidente de încălcare a securității datelor până la momentul closing-ului (sau, în funcție de structura tranzacției, până la alt moment în care cumpărătorul dobândește controlul asupra datelor).

Mai mult, în funcție și de modul în care tranzacția de tipul share deal este structurată, poate fi avută în vedere și includerea în documentele tranzacției a unor condiții suspensive, sub forma unor obligații în sarcina vânzătorului ca între momentul semnării documentelor și perfectarea tranzacției să ia măsurile necesare pentru a asigura conformitatea cu cerințele GDPR la nivelul societății.

Cu toate acestea, pentru societățile în care au loc prelucrări de date numeroase și complexe, trebuie avut în vedere faptul că un proces de due-diligence complet asupra aspectelor de GDPR ar putea presupune o perioadă însemnată de timp, iar neregularitățile care sunt dezvăluite cumpărătorului sau sunt identificate de acesta și nu sunt tratate în documentele tranzacției, ar putea fi considerate ca asumate de către cumpărător.

În cazul unei asset deal

În cazul în care datele personale fac parte din activele ce sunt obiectul achiziției, ar trebui ca răspunderea pentru încălcările normelor de protecție a datelor să rămână la entitatea vânzătorului (în calitatea sa de operator), iar cumpărătorul să răspundă doar pentru practicile sale de după momentul în care primește și prelucrează datele. Astfel, în documentele tranzacției, răspunderea pentru modul de desfășurare al activităților de prelucrare a datelor ar trebui să rămână în sarcina vânzătorului, pentru perioada de timp cât activitățile de prelucrare respective s-au aflat sub controlul său.

În plus, trebuie să fie luate în considerare angajamentele pe care target-ul și le-a asumat prin politicile de confidențialitate/notele de informare pe care le-a comunicat persoanelor vizate și care ar putea să interzică/limiteze maniera în care datele personale pot fi transferate ca parte a activelor societății. Un angajament al target-ului în sensul că nu va vinde sau transfera în nicio situație datele către terțe persoane, în afara celor indicate expres, poate constitui un obstacol în cazul în care potențialul cumpărător al afacerii nu este enumerat printre destinatari. O practică legată de divulgarea datelor în contextul unei tranzacții de tipul asset deal, în condițiile existenței unui astfel de angajament în politica de confidențialitate, am identificat însă doar în jurisdicții precum SUA sau Germania. De exemplu în SUA, într-o astfel de situație, transferul datelor a fost permis sub condiția respectării în continuare de către cumpărător a politicilor de confidențialitate deja comunicate de către vânzător și a oferirii posibilității pentru anumiți clienți ai vânzătorului de a refuza transferul (en. opt-out).

2. Consimțământul pentru transmiterea de comunicări de marketing

Chiar dacă prelucrarea datelor în contextul activităților de marketing nu are neapărat întotdeauna ca temei legal consimțământul, în contextul unei tranzacții, acest temei poate avea cele mai multe implicații.

În cazul unei share deal

Este importantă verificarea temeiului legal în baza căruia target-ul transmite comunicările de marketing către persoanele fizice și, atunci când temeiul este consimțământul, dacă acesta a fost obținut în mod valabil. În cazul unei share deal, neavând loc o schimbare a operatorului de date, dacă acordurile au fost obținute valabil, societatea va putea trimite în continuare comunicări de marketing către baza sa de date și după perfectarea tranzacției.

În cazul în care în cadrul analizei de due-diligence, potențialul cumpărător constată că societatea target nu a obținut în mod valabil acordurile pentru marketing, dacă baza de date de marketing reprezintă o parte importantă a activelor target-ului, poate fi avută în vedere introducerea unei condiții suspensive în documentele tranzacției prin care vânzătorul să se oblige la remedierea situației.

În cazul unei asset deal

În această ipoteză, dacă baza de date către care se trimit comunicări de marketing face parte dintre activele transferate, se poate considera că în urma încheierii tranzacției va avea loc o schimbare a operatorului de date (societatea care va prelucra datele fiind diferită). În consecință, trebuie luat în considerare faptul că, în general, va trebui obținut din nou acordul persoanelor pentru prelucrarea datelor în scopuri de marketing de către cumpărător, în calitatea sa de nou operator, chiar dacă fostul operator (societatea target) deținea un consimțământ valabil înainte de tranzacție. Autoritatea de supraveghere din UK (ICO) consideră că pentru a se putea baza pe consimțământul pentru prelucrare obținut de o altă entitate, noua entitate trebuie să fi fost numită și identificată expres la momentul obținerii, în practică fiind puțin probabil ca potențialul cumpărător să fi fost menționat anticipat de către vânzător la colectarea consimțământului.

3. Obligația de informare cu privire la prelucrarea datelor

În cazul unei share deal

Întrucât nu va avea loc o schimbare propriu-zisă a operatorului, de principiu, cumpărătorul nu ar trebui să refacă politicile de confidențialitate/notele de informare ale target-ului. Cu toate acestea, dacă au loc schimbări ale modului de prelucrare a datelor odată cu încheierea tranzacției (cum ar fi spre exemplu atunci când datele angajaților vor fi transferate către societăți din grup în noi țări din afara UE), societatea va trebui să își îndeplinească din nou obligația de informare.

În plus, dacă cumpărătorul va dori să utilizeze datele în alte scopuri, diferite față de scopurile în care acestea erau prelucrate de către target, atunci va trebui să efectueze o analiză pentru a determina dacă acest nou scop este compatibil cu scopul anterior, în sensul cerințelor GDPR, înainte de a se angaja în aceste noi activități.

În cazul unei asset deal

În acest caz, datorită faptului că entitatea ce va acționa ca și operator de date se va schimba, după perfectarea tranzacției, cumpărătorul va trebui să își îndeplinească propriile obligații de informare, ceea ce înseamnă comunicarea unor noi politici de confidențialitate/note de informare.

Ca un ultim aspect ce trebuie avut în vedere în legătură cu obligația de informare, evidențiem faptul că, întrucât cumpărătorul nu a obținut datele în mod direct de la persoanele vizate, ci de la vânzător, acesta va trebui să indice și sursa de unde a colectat respectivele date.

4. Conformarea continuă după perfectarea tranzacției

Odată perfectată tranzacția, atenția cumpărătorului față de datele personale primite în urma achiziției nu trebuie diminuată, ci există aspecte care trebuie în continuare luate în considerare. Astfel, vor trebui avute în vedere aspectele practice legate de integrarea activităților preluate, inclusiv a activităților de prelucrare a datelor cu caracter personal, asigurarea respectării continue a principiilor și cerințelor GDPR inclusiv cu privire la activitățile de prelucrare de date preluate în urma tranzacției, posibil reevaluarea anumitor prelucrări de date efectuate de societatea target (de exemplu, în privința duratelor de stocare sau a respectării principiului reducerii la minim a datelor prelucrate) sau chiar reevaluarea unor relații contractuale (încheiate, de exemplu, cu persoanele împuternicite care prelucrează date în numele societății target sau cu operatorii asociați).

De asemenea, ar fi necesară alinierea politicilor și procedurilor interne ale target-ului cu cele implementate în grupul de societăți din care face parte cumpărătorul (spre exemplu, în privința modului de păstrare a registrelor de evidență a prelucrărilor de date, a procedurilor aplicate în cazul unei încălcări a securității datelor, a modului de lucru aplicat în vederea respectării drepturilor persoanelor vizate), precum și alinierea/integrarea măsurilor tehnice și organizatorice aplicate.

Totodată, există aspecte care ar putea necesita analize suplimentare, cum ar fi necesitatea numirii unui DPO sau modul în care DPO deja numit și-ar putea exercita atribuțiile și în privința societății nou achiziționate, reevaluarea criteriilor analizate în privința efectuării testelor de echilibru (în cazul în care temeiul prelucrării datelor este interesul legitim) sau al evaluării impactului operațiunilor de prelucrare asupra protecției datelor (spre exemplu, refacerea analizelor și evaluărilor respective, în cazul în care criteriile avute inițial în vedere s-au modificat în urma preluării activității unei noi societăți).

Un articol semnat de Raluca Puscas, Counsel și Diana Gavra, Associate