Stiri de ultima ora

Aspecte de GDPR în structura tranzacţiei la achiziţionarea unei societăţi

Aspecte de GDPR în structura tranzacţiei  la achiziţionarea unei societăţi
Economic
Atunci când un potenţial investitor are în vedere achiziţionarea unei afa­ceri, există numeroase aspecte ce trebuie luate în considerare, precum activele societăţii ţintă (target-ul), aspectele financiare, know- how-ul sau potenţialele litigii în care societatea era implicată. Printre astfel de elemente, aspectele ce ţin de practicile de aplicare şi implementare a cerinţelor Regulamentului general privind protecţia datelor (UE) 2016/679 (GDPR) pot constitui un element esenţial de luat în considerare, în special în industriile care se bazează pe datele persoanelor fizice şi în care bazele de date reprezintă un activ valoros al societăţii.

Într-un articol anterior, am prezentat implicaţiile GDPR în procesul de due-diligence derulat în cadrul unei tranzacţii, însă impactul Regulamentului se extinde şi asupra etapelor ulterioare, în special asupra structurii pe care o va avea tranzacţia.

Răspunderea pentru practicile GDPR ale target-ului

Având în vedere că în acest tip de tranzacţii are loc o schimbare a acţionarilor/asociaţilor societăţii, fără a avea loc şi o schimbare a personalităţii juridice a entităţii care prelucrează datele şi care are calitate de operator de date, se poate considera că răspunderea în baza GDPR, pentru practicile anterioare ale societăţii, rămâne în sarcina acesteia.

Aceasta înseamnă că, în lipsa unei înţelegeri a părţilor, răspunderea ar fi suportată indirect de noii acţionari/asociaţi. În funcţie de situaţia concretă şi de iregularităţile identificate în procesul de due-diligence, pentru a-şi limita expunerea, cumpărătorul poate avea în vedere includerea în documentele tranzacţiei a unor clauze de răspundere a vânzătorului pentru neregularităţile săvârşite înainte de perfectarea tranzacţiei (en. closing) care ar fi descoperite şi sancţionate de către autoritate după closing. În absenţa unor astfel de clauze, sau alături de acestea, potenţiala expunere pe GDPR, precum şi costurile aferente aducerii la conformitate a activităţilor de prelucrare vor trebui luate în calcul la stabilirea preţului de achiziţie şi, dacă este cazul, la stabilirea unui prag de limitare a răspunderii. Nu în ultimul rând, în cazul societăţilor care se bazează mult pe încrederea consumatorilor, riscul reputaţional în eventualitatea unui incident de încălcare a securităţii datelor va trebui luat de asemenea în calcul.

Astfel, este important ca alocarea ris­cului şi întinderea răspunderii să fie reglementate cât mai detaliat în documentele tranzacţiei. În industriile în care prelucrarea datelor este strâns legată de activităţile principale ale target-ului, poate fi avută în vedere includerea unor reprezentări şi garanţii legate de: (i) confirmarea faptului că societatea a desfăşurat activităţile de prelucrare a datelor personale în conformitate cu prevederile legale şi contractuale aplicabile, dar şi cu politicile de confidenţialitate comunicate per­soanelor vizate; (ii) absenţa oricăror proceduri de investigaţie din partea autorităţilor pentru încălcări ale cerinţelor GDPR; (iii) absenţa oricăror res­tricţii la nivelul target-ului de a divulga, distribui sau utiliza datele personale colectate de către target; sau (iv) inexistenţa unor incidente de încălcare a securităţii datelor până la momentul closing-ului (sau, în funcţie de structura tranzacţiei, până la alt moment în care cumpărătorul dobândeşte controlul asupra datelor).

Cu toate acestea, pentru societăţile în care au loc prelucrări de date numeroase şi complexe, trebuie avut în vedere faptul că un proces de due-diligence complet asupra aspectelor de GDPR ar putea presupune o perioadă însemnată de timp, iar neregularităţile care sunt dezvăluite cumpărătorului sau sunt identificate de acesta şi nu sunt tratate în documentele tranzacţiei, ar putea fi considerate ca asumate de către cumpărător.

- În cazul unei asset deal:

În cazul în care datele personale fac parte din activele ce sunt obiectul achiziţiei, ar trebui ca răspunderea pentru încălcările normelor de protecţie a datelor să rămână la entitatea vânzătorului (în calitatea sa de operator), iar cumpărătorul să răspundă doar pentru practicile sale de după momentul în care primeşte şi prelucrează datele. Astfel, în documentele tranzacţiei, răspunderea pentru modul de desfăşurare al activităţilor de prelucrare a datelor ar trebui să rămână în sarcina vânzătorului, pentru perioada de timp cât activităţile de prelucrare respective s-au aflat sub controlul său.

În plus, trebuie să fie luate în considerare angajamentele pe care target-ul şi le-a asumat prin politicile de confidenţialitate/notele de informare pe care le-a comunicat persoanelor vizate şi care ar putea să interzică/limiteze maniera în care datele personale pot fi transferate ca parte a activelor societăţii. Un angajament al target-ului în sensul că nu va vinde sau transfera în nicio situaţie datele către terţe persoane, în afara celor indicate expres, poate constitui un obstacol în cazul în care potenţialul cumpărător al afacerii nu este enumerat printre destinatari. O practică legată de divulgarea datelor în contextul unei tranzacţii de tipul asset deal, în condiţiile existenţei unui astfel de angajament în politica de confidenţialitate, am identificat însă doar în jurisdicţii precum SUA sau Germania. De exemplu în SUA, într-o astfel de situaţie, transferul datelor a fost permis sub condiţia respectării în continuare de către cumpărător a politicilor de confidenţialitate deja comunicate de către vânzător şi a oferirii posibilităţii pentru anumiţi clienţi ai vânzătorului de a refuza transferul (en. opt-out).

Consimţământul pentru transmiterea de comunicări de marketing

Chiar dacă prelucrarea datelor în contextul activităţilor de marketing nu are neapărat întotdeauna ca temei legal consimţământul, în contextul unei tranzacţii, acest temei poate avea cele mai multe implicaţii.

În cazul în care, în cadrul analizei de due-diligence, potenţialul cumpărător constată că societatea target nu a obţinut în mod valabil acordurile pentru marketing, dacă baza de date de marketing reprezintă o parte importantă a activelor target-ului, poate fi avută în vedere introducerea unei condiţii sus­pensive în documentele tranzacţiei prin care vânzătorul să se oblige la remedierea situaţiei.

- În cazul unei asset deal:

În această ipoteză, dacă baza de date către care se trimit comunicări de marketing face parte dintre activele transferate, se poate considera că în urma încheierii tranzacţiei va avea loc o schimbare a operatorului de date (societatea care va prelucra datele fiind diferită). În consecinţă, trebuie luat în considerare faptul că, în general, va trebui obţinut din nou acordul persoanelor pentru prelucrarea datelor în scopuri de marketing de către cumpărător, în calitatea sa de nou operator, chiar dacă fostul operator (societatea target) deţinea un consimţământ valabil înainte de tranzacţie. Autoritatea de supraveghere din UK (ICO) consideră că pentru a se putea baza pe consimţământul pentru prelucrare obţinut de o altă entitate, noua entitate trebuie să fi fost numită şi identificată expres la momentul obţinerii, în practică fiind puţin probabil ca potenţialul cumpărător să fi fost menţionat anticipat de către vânzător la colectarea consimţământului.

Obligaţia de informare cu privire la prelucrarea datelor

Întrucât nu va avea loc o schimbare propriu-zisă a operatorului, de principiu, cumpărătorul nu ar trebui să refacă politicile de confidenţialitate/notele de informare ale target-ului. Cu toate acestea, dacă au loc schimbări ale modului de prelucrare a datelor odată cu încheierea tranzacţiei (cum ar fi spre exemplu atunci când datele angajaţilor vor fi transferate către societăţi din grup în noi ţări din afara UE), societatea va trebui să îşi îndeplinească din nou obligaţia de informare.

În plus, dacă cumpărătorul va dori să utilizeze datele în alte scopuri, diferite faţă de scopurile în care acestea erau prelucrate de către target, atunci va trebui să efectueze o analiză pentru a determina dacă acest nou scop este compatibil cu scopul anterior, în sensul cerinţelor GDPR, înainte de a se angaja în aceste noi activităţi.

- În cazul unei asset deal:

În acest caz, datorită faptului că entitatea ce va acţiona ca şi operator de date se va schimba, după perfectarea tranzacţiei, cumpărătorul va trebui să îşi îndeplinească propriile obligaţii de informare, ceea ce înseamnă comunicarea unor noi politici de confidenţialitate/note de informare.
www.bursa.ro

Articole similare :
comments powered by Disqus