Aspecte de GDPR în structura tranzacţiei la achiziţionarea unei societăţi

Raluca Puşcaş, Diana Gavra
Companii / 18 februarie 2019

Raluca Puşcaş, Diana Gavra

Raluca Puşcaş, Diana Gavra

Atunci când un potenţial investitor are în vedere achiziţionarea unei afa­ceri, există numeroase aspecte ce trebuie luate în considerare, precum activele societăţii ţintă (target-ul), aspectele financiare, know- how-ul sau potenţialele litigii în care societatea era implicată. Printre astfel de elemente, aspectele ce ţin de practicile de aplicare şi implementare a cerinţelor Regulamentului general privind protecţia datelor (UE) 2016/679 (GDPR) pot constitui un element esenţial de luat în considerare, în special în industriile care se bazează pe datele persoanelor fizice şi în care bazele de date reprezintă un activ valoros al societăţii.

Într-un articol anterior, am prezentat implicaţiile GDPR în procesul de due-diligence derulat în cadrul unei tranzacţii, însă impactul Regulamentului se extinde şi asupra etapelor ulterioare, în special asupra structurii pe care o va avea tranzacţia.

Acest articol îşi propune o prezentare comparativă (fără a fi exhaustivă) a câtorva aspecte interesante rezultate din aplicarea GDPR, care sunt influenţate de mecanismul utilizat pentru achi­ziţionarea unei societăţi, mai exact asset deal, atunci când are loc o achiziţie a activelor societăţii, sau share deal, atunci când are loc o achiziţie a acţiunilor/părţilor sociale ale societăţii.

Răspunderea pentru practicile GDPR ale target-ului

- În cazul unei share deal:

Având în vedere că în acest tip de tranzacţii are loc o schimbare a acţionarilor/asociaţilor societăţii, fără a avea loc şi o schimbare a personalităţii juridice a entităţii care prelucrează datele şi care are calitate de operator de date, se poate considera că răspunderea în baza GDPR, pentru practicile anterioare ale societăţii, rămâne în sarcina acesteia.

Aceasta înseamnă că, în lipsa unei înţelegeri a părţilor, răspunderea ar fi suportată indirect de noii acţionari/asociaţi. În funcţie de situaţia concretă şi de iregularităţile identificate în procesul de due-diligence, pentru a-şi limita expunerea, cumpărătorul poate avea în vedere includerea în documentele tranzacţiei a unor clauze de răspundere a vânzătorului pentru neregularităţile săvârşite înainte de perfectarea tranzacţiei (en. closing) care ar fi descoperite şi sancţionate de către autoritate după closing. În absenţa unor astfel de clauze, sau alături de acestea, potenţiala expunere pe GDPR, precum şi costurile aferente aducerii la conformitate a activităţilor de prelucrare vor trebui luate în calcul la stabilirea preţului de achiziţie şi, dacă este cazul, la stabilirea unui prag de limitare a răspunderii. Nu în ultimul rând, în cazul societăţilor care se bazează mult pe încrederea consumatorilor, riscul reputaţional în eventualitatea unui incident de încălcare a securităţii datelor va trebui luat de asemenea în calcul.

Astfel, este important ca alocarea ris­cului şi întinderea răspunderii să fie reglementate cât mai detaliat în documentele tranzacţiei. În industriile în care prelucrarea datelor este strâns legată de activităţile principale ale target-ului, poate fi avută în vedere includerea unor reprezentări şi garanţii legate de: (i) confirmarea faptului că societatea a desfăşurat activităţile de prelucrare a datelor personale în conformitate cu prevederile legale şi contractuale aplicabile, dar şi cu politicile de confidenţialitate comunicate per­soanelor vizate; (ii) absenţa oricăror proceduri de investigaţie din partea autorităţilor pentru încălcări ale cerinţelor GDPR; (iii) absenţa oricăror res­tricţii la nivelul target-ului de a divulga, distribui sau utiliza datele personale colectate de către target; sau (iv) inexistenţa unor incidente de încălcare a securităţii datelor până la momentul closing-ului (sau, în funcţie de structura tranzacţiei, până la alt moment în care cumpărătorul dobândeşte controlul asupra datelor).

Mai mult, în funcţie şi de modul în care tranzacţia de tipul share deal este structurată, poate fi avută în vedere şi includerea în documentele tranzacţiei a unor condiţii suspensive, sub forma unor obligaţii în sarcina vânzătorului ca între momentul semnării documentelor şi perfectarea tranzacţiei să ia măsurile necesare pentru a asigura conformitatea cu cerinţele GDPR la nivelul societăţii.

Cu toate acestea, pentru societăţile în care au loc prelucrări de date numeroase şi complexe, trebuie avut în vedere faptul că un proces de due-diligence complet asupra aspectelor de GDPR ar putea presupune o perioadă însemnată de timp, iar neregularităţile care sunt dezvăluite cumpărătorului sau sunt identificate de acesta şi nu sunt tratate în documentele tranzacţiei, ar putea fi considerate ca asumate de către cumpărător.

- În cazul unei asset deal:

În cazul în care datele personale fac parte din activele ce sunt obiectul achiziţiei, ar trebui ca răspunderea pentru încălcările normelor de protecţie a datelor să rămână la entitatea vânzătorului (în calitatea sa de operator), iar cumpărătorul să răspundă doar pentru practicile sale de după momentul în care primeşte şi prelucrează datele. Astfel, în documentele tranzacţiei, răspunderea pentru modul de desfăşurare al activităţilor de prelucrare a datelor ar trebui să rămână în sarcina vânzătorului, pentru perioada de timp cât activităţile de prelucrare respective s-au aflat sub controlul său.

În plus, trebuie să fie luate în considerare angajamentele pe care target-ul şi le-a asumat prin politicile de confidenţialitate/notele de informare pe care le-a comunicat persoanelor vizate şi care ar putea să interzică/limiteze maniera în care datele personale pot fi transferate ca parte a activelor societăţii. Un angajament al target-ului în sensul că nu va vinde sau transfera în nicio situaţie datele către terţe persoane, în afara celor indicate expres, poate constitui un obstacol în cazul în care potenţialul cumpărător al afacerii nu este enumerat printre destinatari. O practică legată de divulgarea datelor în contextul unei tranzacţii de tipul asset deal, în condiţiile existenţei unui astfel de angajament în politica de confidenţialitate, am identificat însă doar în jurisdicţii precum SUA sau Germania. De exemplu în SUA, într-o astfel de situaţie, transferul datelor a fost permis sub condiţia respectării în continuare de către cumpărător a politicilor de confidenţialitate deja comunicate de către vânzător şi a oferirii posibilităţii pentru anumiţi clienţi ai vânzătorului de a refuza transferul (en. opt-out).

Consimţământul pentru transmiterea de comunicări de marketing

Chiar dacă prelucrarea datelor în contextul activităţilor de marketing nu are neapărat întotdeauna ca temei legal consimţământul, în contextul unei tranzacţii, acest temei poate avea cele mai multe implicaţii.

- În cazul unei share deal:

Este importantă verificarea temeiului legal în baza căruia target-ul trans­mite comunicările de marketing către persoanele fizice şi, atunci când temeiul este consimţământul, dacă acesta a fost obţinut în mod valabil. În cazul unei share deal, neavând loc o schimbare a operatorului de date, dacă acordurile au fost obţinute valabil, societatea va putea trimite în continuare comunicări de marketing către baza sa de date şi după perfectarea tranzacţiei.

În cazul în care, în cadrul analizei de due-diligence, potenţialul cumpărător constată că societatea target nu a obţinut în mod valabil acordurile pentru marketing, dacă baza de date de marketing reprezintă o parte importantă a activelor target-ului, poate fi avută în vedere introducerea unei condiţii sus­pensive în documentele tranzacţiei prin care vânzătorul să se oblige la remedierea situaţiei.

- În cazul unei asset deal:

În această ipoteză, dacă baza de date către care se trimit comunicări de marketing face parte dintre activele transferate, se poate considera că în urma încheierii tranzacţiei va avea loc o schimbare a operatorului de date (societatea care va prelucra datele fiind diferită). În consecinţă, trebuie luat în considerare faptul că, în general, va trebui obţinut din nou acordul persoanelor pentru prelucrarea datelor în scopuri de marketing de către cumpărător, în calitatea sa de nou operator, chiar dacă fostul operator (societatea target) deţinea un consimţământ valabil înainte de tranzacţie. Autoritatea de supraveghere din UK (ICO) consideră că pentru a se putea baza pe consimţământul pentru prelucrare obţinut de o altă entitate, noua entitate trebuie să fi fost numită şi identificată expres la momentul obţinerii, în practică fiind puţin probabil ca potenţialul cumpărător să fi fost menţionat anticipat de către vânzător la colectarea consimţământului.

Obligaţia de informare cu privire la prelucrarea datelor

- În cazul unei share deal:

Întrucât nu va avea loc o schimbare propriu-zisă a operatorului, de principiu, cumpărătorul nu ar trebui să refacă politicile de confidenţialitate/notele de informare ale target-ului. Cu toate acestea, dacă au loc schimbări ale modului de prelucrare a datelor odată cu încheierea tranzacţiei (cum ar fi spre exemplu atunci când datele angajaţilor vor fi transferate către societăţi din grup în noi ţări din afara UE), societatea va trebui să îşi îndeplinească din nou obligaţia de informare.

În plus, dacă cumpărătorul va dori să utilizeze datele în alte scopuri, diferite faţă de scopurile în care acestea erau prelucrate de către target, atunci va trebui să efectueze o analiză pentru a determina dacă acest nou scop este compatibil cu scopul anterior, în sensul cerinţelor GDPR, înainte de a se angaja în aceste noi activităţi.

- În cazul unei asset deal:

În acest caz, datorită faptului că entitatea ce va acţiona ca şi operator de date se va schimba, după perfectarea tranzacţiei, cumpărătorul va trebui să îşi îndeplinească propriile obligaţii de informare, ceea ce înseamnă comunicarea unor noi politici de confidenţialitate/note de informare.

Ca un ultim aspect ce trebuie avut în vedere în legătură cu obligaţia de informare, evidenţiem faptul că, întrucât cumpărătorul nu a obţinut datele în mod direct de la persoanele vizate, ci de la vânzător, acesta va trebui să indice şi sursa de unde a colectat respectivele date.

Conformarea continuă după perfectarea tranzacţiei

Odată perfectată tranzacţia, atenţia cumpărătorului faţă de datele personale primite în urma achiziţiei nu trebuie diminuată, ci există aspecte care trebuie în continuare luate în considerare. Astfel, vor trebui avute în vedere aspectele practice legate de integrarea activităţilor preluate, inclusiv a activităţilor de prelucrare a datelor cu caracter personal, asigurarea respectării continue a principiilor şi cerinţelor GDPR inclusiv cu privire la activităţile de prelucrare de date preluate în urma tranzacţiei, posibil reevaluarea anumitor prelucrări de date efectuate de societatea target (de exemplu, în privinţa duratelor de stocare sau a respectării principiului reducerii la minim a datelor prelucrate) sau chiar reevaluarea unor relaţii contractuale (încheiate, de exemplu, cu persoanele împuternicite care prelucrează date în numele societăţii target sau cu operatorii asociaţi). De asemenea, ar fi necesară alinierea politicilor şi procedurilor interne ale target-ului cu cele implementate în grupul de socie­tăţi din care face parte cumpărătorul (spre exemplu, în privinţa modului de păstrare a registrelor de evidenţă a prelucrărilor de date, a procedurilor aplicate în cazul unei încălcări a securităţii datelor, a modului de lucru aplicat în vederea respectării drepturilor persoanelor vizate), precum şi alinierea/integrarea măsurilor tehnice şi organizatorice aplicate.

Totodată, există aspecte care ar putea necesita analize suplimentare, cum ar fi necesitatea numirii unui DPO sau modul în care DPO deja numit şi-ar putea exercita atribuţiile şi în privinţa societăţii nou achiziţionate, reevaluarea criteriilor analizate în privinţa efectuării testelor de echilibru (în cazul în care temeiul prelucrării datelor este interesul legitim) sau al evaluării impactului operaţiunilor de prelucrare asupra protecţiei datelor (spre exemplu, refacerea analizelor şi evaluărilor respective, în cazul în care criteriile avute iniţial în vedere s-au modificat în urma preluării activităţii unei noi societăţi).

Cotaţii Internaţionale

vezi aici mai multe cotaţii

Bursa Construcţiilor

www.constructiibursa.ro

Comanda carte
veolia.ro
Apanova
digi.ro
aages.ro
danescu.ro
librarie.net
Mozart
Schlumberger
arsc.ro
Stiri Locale

Curs valutar BNR

18 Noi. 2024
Euro (EUR)Euro4.9764
Dolar SUA (USD)Dolar SUA4.7176
Franc elveţian (CHF)Franc elveţian5.3172
Liră sterlină (GBP)Liră sterlină5.9544
Gram de aur (XAU)Gram de aur393.2836

convertor valutar

»=
?

mai multe cotaţii valutare

Cotaţii Emitenţi BVB
Cotaţii fonduri mutuale
Mirosul Crăciunului
Teatrul Național I. L. Caragiale Bucuresti
petreceriperfecte.ro
targuldeturism.ro
Studiul 'Imperiul Roman subjugă Împărăţia lui Dumnezeu'
The study 'The Roman Empire subjugates the Kingdom of God'
BURSA
BURSA
Împărăţia lui Dumnezeu pe Pământ
The Kingdom of God on Earth
Carte - Golden calf - the meaning of interest rate
Carte - The crisis solution terminus a quo
www.agerpres.ro
www.dreptonline.ro
www.hipo.ro

adb