¿Qué es un procedimiento de Due Diligence?

El due diligence, o procedimiento de diligencia debida, es una investigación exhaustiva, una auditoría sobre los aspectos organizativos, legales y estructurales,  que se realiza en una empresa para evaluar si cumple con sus obligaciones con la diligencia debida, los costes, y beneficios de su adquisición, con el objetivo evalúa también los riesgos legales derivados de la actividad.

El due diligence es un informe que se realiza antes del proceso de compra de una empresa, cuando hay inversores interesados en participar en rondas de inversión o ante un cambio de órgano de administración.

¿Cómo incide la LOPD en los procesos de Due Diligence?

La  última reforma de la Ley de Protección de Datos regula la licitud del uso de datos personales en operaciones societarias y por lo tanto, en procesos de Due Diligence, concretamente en el art. 21 de la LOPD vigente.

“Artículo 21. Tratamientos relacionados con la realización de determinadas operaciones mercantiles.

  1. Salvo prueba en contrario, se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.
  2. En el caso de que la operación no llegara a concluirse, la entidad cesionaria deberá proceder con carácter inmediato a la supresión de los datos, sin que sea de aplicación la obligación de bloqueo prevista en esta ley orgánica.”

Por tanto, basándonos en el citado artículo el tratamiento de datos durante una Due Diligence encontraría legitimación, pero siendo necesario una valoración previa de los intereses de la sociedad compradora frente a los derechos de los interesados, teniendo siempre que encontrar proporcionalidad entre el acceso a la información protegida frente al fin buscado.

No obstante, cabe matizar que aunque esté regulado en la LOPD y la misma legitime el uso de datos personales en los referidos procesos de Due Diligence, no vale realizar cualquier tratamiento o acceso a los mismos, sinó sólo a aquellos a los que resulte inevitable acceder y se debe llevar a cabo con la máxima cautela y con medidas de seguridad exhaustivas que impidan la pérdida de información, el uso ilegítimo y extralimitado y que, al mismo tiempo protejan la confidencialidad, lo cual se traduce en lo siguiente:

  1. Se debe firmar un contrato dónde se incluyan cláusulas de confidencialidad.
  2. Únicamente podrán acceder a los datos personales las personas que realicen la auditoría, y la empresa interesada en la compra sólo podrá acceder al informe final.
  3. En relación al acceso a los datos o tratamiento de los mismos se podrá acceder siempre y cuando sea estrictamente necesario para cumplir con la finalidad del procedimiento de Due Diligence y siempre y cuando no prevalezcan los derechos de los interesados (titulares de los datos).
  4. Si finalmente es inevitable acceder a los datos personales, se deberá recabar el consentimiento de los afectados, pues en caso contrario estaríamos ante una cesión de datos no consentida y se incurriría en un incumplimiento normativo sancionable.

Por ello, es conveniente firmar acuerdos de confidencialidad con los trabajadores, clientes, y proveedores, dónde se preste el consentimiento para que terceros puedan acceder a sus datos.

Otra de las opciones para proteger los datos personales es anonimizarlos, disociarlos para que no se sepa de quién son, y si por ejemplo, hay algún cargo ejercido por una única persona, supuesto en el que a pesar de disociar o anonimizar se pudiera saber de quién se trata, también se debería solicitar consentimiento a esa persona para que terceros puedan acceder a sus datos en el contexto de operaciones societarias.

  1. Al margen, y para reforzar la operación,  es recomendable, ad cautelam, incluir en el contrato con la empresa compradora, cláusulas que regulen sus obligaciones sobre protección de datos de vuestra empresa y también  mecanismos por el que os devuelvan o destruyan la información a la que hayan tenido acceso.

Por último, comentar que éstas son recomendaciones generales y de obligado cumplimiento, pero para realizar un asesoramiento preciso y exhaustivo se debe atender a los procesos concretos y reales de cada empresa.

Para cualquier consulta relacionada con este tema, no dudes en contáctanos en el 932 000 149 o bien en el correo infonexum@etl.es

Confía en expertos, confía en ETL.

Susana Blasco Lebrero
Abogada