Unul dintre aspectele tranzacţiilor de M&A (n.r. fuziuni şi achiziţii) care a dobândit o importanţă sporită odată cu aplicarea în România a Regulamentului general privind protecţia datelor (UE) 2016/679 (GDPR), priveşte protecţia datelor cu caracter personal, mai concret cum poate fi asigurată şi implementată respectarea obligaţiilor prevăzute de GDPR de către părţile implicate într-o astfel de tranzacţie.
Acest articol îşi propune să prezinte implicaţiile practice ale GDPR cel mai des întâlnite în pregătirea tranzacţiilor de M&A, cu accent pe transferul datelor în cadrul procesului de due-diligence.
• Principalele implicaţii pentru vânzător
Acordul de confidenţialitate
În cadrul procesului de due-diligence, vânzătorul va trebui să se asigure că orice date cu caracter personal ce s-ar putea regăsi în documentele puse la dispoziţia potenţialilor cumpărători sunt protejate şi nu vor fi folosite de către aceştia în alte scopuri în afara analizei de due-diligence, implicit că acordul de confidenţialitate încheiat cu fiecare dintre potenţialii cumpărători acoperă şi obligaţiile legate de protecţia datelor personale. Printre altele, acordul ar trebui să cuprindă obligaţia de a folosi datele personale doar în scopul procesului de due-diligence, în vederea tranzacţiei şi nu în alte scopuri proprii ale potenţialului cumpărător, obligaţia de a returna sau distruge orice date personale în cazul în care negocierile sunt întrerupte/încetate, obligaţia de a asigura securitatea datelor accesate şi obligaţia de a nu divulga datele în ţări din afara Uniunii Europene (UE) sau a Spaţiului Economic European (SEE).
Dacă potenţialul cumpărător este situat într-o ţară din afara UE/SEE, aceasta determină o verificare adiţională din partea vânzătorului şi poate implica încheierea unor documente suplimentare, pentru a se asigura că transferul este însoţit de garanţii adecvate în sensul GDPR. Spre exemplu, o primă verificare ar fi dacă ţara unde sunt divulgate datele se află pe lista Comisiei Europene de ţări recunoscute că asigură un nivel adecvat de protecţie a datelor cu caracter personal. În cazul unui răspuns afirmativ, nu vor fi necesare formalităţi suplimentare din acest punct de vedere. Un alt exemplu: dacă potenţialul cumpărător este situat în SUA, ar trebui verificat dacă acesta este parte a Scutului de Confidenţialitate UE-SUA (EU-U.S. Privacy Shield). Evoluţia acestui mecanism de auto-certificare va trebui urmărită cu atenţie, întrucât, recent, Parlamentul European a solicitat Comisiei Europene (printr-o rezoluţie fără caracter obligatoriu) suspendarea sa până când SUA va asigura respectarea standardelor UE pentru protecţia datelor de către societăţile parte la mecanism. În funcţie de rezultatul verificărilor efectuate asupra garanţiilor ce stau la baza transferului de date, este posibil să apară necesitatea încheierii cu potenţialul cumpărător a unor clauze standard de protecţie a datelor (conform modelelor adoptate de Comisia Europeană), în plus faţă de acordul de confidenţialitate.
Impactul nerespectării obligaţiilor referitoare la transferul către ţări terţe este cu atât mai important pentru vânzător, întrucât dacă acesta nu asigură garanţiile pentru protecţia datelor, răspunderea şi riscul de amendă în baza GDPR va fi suportat de acesta.
Camera de date electronică (VDR) în pregătirea procesului de due-diligence
Ce informaţii mai pot fi cuprinse în VDR odată ce GDPR a devenit aplicabil? Pe scurt, doar cele strict necesar a fi divulgate potenţialului cumpărător pentru desfăşurarea procesului de due-diligence şi pentru analiza riscurilor tranzacţiei. De la caz la caz, în baza principiului reducerii la minimum a datelor, ar trebui limitat accesul la date sau acestea ar putea fi puse la dispoziţie în format confidenţializat, cum ar fi în situaţia datelor cu caracter personal din contractele de muncă (cu excepţia cazurilor când dezvăluirea acestora este necesară în cadrul procesului de due-diligence, spre exemplu în cazul unor angajaţi cheie ai vânzătorului), a datelor din autorizaţii, permise sau alte documente (în măsura în care nu sunt necesare pentru verificarea legalităţii documentului de către potenţialul cumpărător) ori a datelor sensibile, precum datele de sănătate sau apartenenţa la sindicat a angajaţilor. Alte măsuri care pot fi luate includ punerea la dispoziţie doar a unor modele ale anumitor tipuri de contracte care sunt similare şi în care au fost confidenţializate datele cu caracter personal sau amânarea divulgării anumitor date spre finalul procesului, când se pregătesc semnarea şi predarea pachetului final de documente, iar încheierea tranzacţiei are un grad mai ridicat de certitudine.
Relaţia cu furnizorul extern de servicii de VDR
În general, furnizorul care pune la dispoziţie camera de date poate fi considerat că acţionează ca persoană împuternicită a vânzătorului, cu care va trebui încheiat un acord de prelucrare a datelor având conţinutul reglementat de GDPR, înainte de încărcarea documentelor în VDR. O altă recomandare este ca vânzătorul să verifice unde sunt situate serverele pe care sunt stocate documentele din VDR, întrucât în cazul în care acestea sunt situate într-o ţară terţă, va trebui avută în vedere asigurarea garanţiilor adecvate pentru transferul datelor prezentate mai sus. În plus, vânzătorul ar trebui să efectueze o verificare preliminară a furnizorilor externi de servicii de VDR, astfel încât să se asigure că va utiliza doar serviciile acelor furnizori care oferă garanţii suficiente de securitate a datelor.
• Temeiul transferului datelor în contextul tranzacţiei
Întrucât şi transferul datelor personale reprezintă o operaţiune de prelucrare în sensul GDPR, vânzătorul va trebui să identifice temeiul juridic în baza căruia va efectua acest transfer. În general, în acest tip de tranzacţii, un consimţământ valabil în sensul GDPR ar putea fi dificil sau chiar imposibil de obţinut şi ar prezenta dificultăţi practice în implementare, în special datorită faptului că de multe ori existenţa intenţiei de vânzare şi desfăşurarea procesului de due-diligence devin publice doar în etapele finale ale tranzacţiei. Astfel, considerăm că ar putea fi conturat un interes legitim al vânzătorului pe care să se întemeieze transferul, dacă acesta trece testul de echilibru conform cerinţelor GDPR, în sensul ca interesul legitim să prevaleze asupra intereselor sau drepturilor şi libertăţilor fundamentale ale persoanelor vizate. Şi din acest motiv, este deosebit de importantă luarea unor măsuri precum cele exemplificate mai sus, incluzând minimizarea accesului la date, necesitatea prelucrării doar pentru realizarea scopului propus sau măsurile de securitate adoptate.
Îndeplinirea obligaţiilor de informare legate de transfer
De multe ori, din motive comerciale, intenţia de a face obiectul unui proces de vânzare nu este divulgată de către societate decât în stadiile finale ale tranzacţiei, astfel încât aspectele legate de informarea de către vânzător a persoanelor vizate ale căror date vor fi transferate în scopul procesului de due-diligence trebuie tratate de la caz la caz. Acestea se află în strânsă legătură cu cele deja menţionate mai sus, o atenţie deosebită necesitând analiza categoriilor de persoane vizate, modul cum au fost obţinute datele (direct de la persoana vizată sau din alte surse - putând fi identificate eventual excepţii de la obligaţia de informare), natura datelor transferate şi în ce măsură datele puse la dispoziţia potenţialilor cumpărători au putut fi confidenţializate. În acest sens, este recomandabilă includerea iniţială în notele de informare pe care vânzătorul le transmite în mod obişnuit diverselor categorii de persoane vizate, a unei menţiuni legate de un potenţial transfer al datelor în cazul unei tranzacţii viitoare.
Implicaţii pentru cumpărător
Din perspectiva cumpărătorului, în decursul procesului de due-diligence, un aspect important este ca acordul de confidenţialitate încheiat cu vânzătorul să cuprindă o declaraţie prin care vânzătorul să confirme faptul că are dreptul de a divulga datele puse la dispoziţie în procesul de due-diligence şi că a îndeplinit toate formalităţile cerute de GDPR în acest sens. Dacă şi cumpărătorul, la rândul său, va transmite date către vânzător, este necesar ca obligaţiile să fie reciproce. De asemenea, cumpărătorul trebuie să implementeze măsuri tehnice şi organizatorice adecvate pentru a asigura respectarea obligaţiilor asumate cu privire la prelucrarea datelor personale în cadrul procesului de due-diligence.
• Aspecte suplimentare
Dincolo de aspectul realizării procesului de due-diligence, odată ce cumpărătorul a analizat punctele forte şi punctele slabe ale afacerii pe care intenţionează să o achiziţioneze, un alt aspect important pe care părţile trebuie să îl determine este structura pe care o va avea tranzacţia. Mai multe detalii despre implicaţiile pe care îndeplinirea obligaţiilor prevăzute de GDPR le poate avea în determinarea modului de structurare a tranzacţiei vor fi tratate într-un articol viitor.