Due Diligence i RGPD

En una due diligence es realitza una investigació exhaustiva sobre l’estat legal, financer i operatiu d’una empresa que està considerant una fusió, adquisició o inversió. Tanmateix, un dels aspectes més rellevants i que sovint passa desapercebut és el compliment amb el Reglament General de Protecció de Dades (RGPD). En aquest article, explorarem les coses clau a tenir en compte quan es realitza una due diligence en relació amb el RGPD, proporcionant exemples pràctics per ajudar-te a comprendre la seva importància.

1. Revisió dels Tipus de Dades Personals

Un dels primers passos en una due diligence pel que fa al RGPD és identificar quins tipus de dades personals gestiona l’empresa. Segons el RGPD, les dades personals són qualsevol informació relacionada amb una persona identificable, com el seu nom, adreça, número de telèfon, correu electrònic, entre altres. A més, dins de les dades personals, existeixen categories especials de dades, com les dades de salut o informació financera, que requereixen un nivell més alt de protecció.

Exemple pràctic: Si l’empresa objecte de la due diligence és una clínica mèdica, és fonamental verificar que les dades sensibles, com els històrics mèdics, s’emmagatzemen i gestionen d’acord amb les normatives més estrictes del RGPD.

Accions recomanades per a la Due Diligence:

• Verificar que l’empresa hagi classificat correctament les dades personals i hagi pres mesures per protegir-les.

2. Avaluar la Base Legal per al Tractament de Dades

El RGPD estableix que el tractament de dades personals només es pot realitzar si es compleix amb una de les bases legals previstes per la llei. Aquestes bases inclouen el consentiment de la persona interessada, la necessitat de complir amb un contracte, el compliment d’una obligació legal, entre altres.

Exemple pràctic: Si l’empresa objecte de la due diligence recopila dades personals de clients per oferir serveis personalitzats, és important verificar que han obtingut el consentiment explícit dels usuaris o que han basat el tractament en l’execució d’un contracte.

Accions recomanades per a la Due Diligence:

• Verificar els registres de consentiment en cas que s’utilitzi aquesta base legal.
• Revisar els contractes per assegurar-se que el tractament de dades personals estigui adequadament justificat.

3. Revisió de les Polítiques de Privacitat

Una due diligence pel que fa al RGPD també ha d’incloure una revisió exhaustiva de les polítiques de privacitat que l’empresa objecte té en vigor. Les polítiques de privacitat han de ser clares, transparents i fàcilment accessibles per als usuaris, informant-los sobre com es recullen, utilitzen, emmagatzemen i protegeixen les seves dades.

Exemple pràctic: Una botiga online ha de tenir una política de privacitat que detalli com gestiona la informació personal dels seus clients, des de les dades de pagament fins a les preferències de compra. Si aquesta política no s’ha actualitzat d’acord amb el RGPD, podria ser un indici que l’empresa no compleix amb les normatives de protecció de dades.

Accions recomanades per a la Due Diligence:

• Verificar que les polítiques de privacitat estan actualitzades i compleixen amb els requisits del RGPD.
• Assegurar-se que l’empresa tingui mecanismes per garantir la transparència en el tractament de dades.

4. Avaluació dels Drets dels Interessats

El RGPD atorga a les persones diversos drets en relació amb les seves dades personals. Entre aquests drets es troben el dret d’accés, rectificació, supressió, portabilitat, oposició i limitació del tractament. Una part important de la due diligence és revisar com l’empresa gestionaria aquestes sol·licituds i si té un procediment adequat per complir amb els drets dels interessats.

Exemple pràctic: Si un client sol·licita que es facin desaparèixer les seves dades personals de la base de dades de l’empresa, aquesta ha de complir amb la sol·licitud dins dels terminis establerts, excepte que hi hagi una base legal que ho impedeixi.

Accions recomanades per a la Due Diligence:

• Assegurar-se que l’empresa tingui procediments establerts per gestionar les sol·licituds dels interessats.
• Verificar que existeixen terminis definits per a la resposta a les sol·licituds d’accés, rectificació o eliminació de dades.

5. Revisió dels Acords amb Proveïdors i Subcontractistes

En molts casos, les empreses subcontracten el tractament de dades personals a tercers (proveïdors de serveis, subcontractistes). Segons el RGPD, és imprescindible que existeixi un contracte de encàrrec de tractament que reguli aquesta relació, especificant com s’han de gestionar les dades personals i assegurant-se que es compleixin les obligacions legals.

Exemple pràctic: Si l’empresa objecte de la due diligence té un contracte amb un proveïdor de serveis d’emmagatzematge en el núvol, s’ha de verificar que aquest contracte inclogui clàusules específiques que garanteixin que el proveïdor compleixi amb les normatives del RGPD.

Accions recomanades per a la Due Diligence:

• Revisar els acords amb proveïdors i subcontractistes per verificar que incloguin les clàusules adequades de protecció de dades.
• Assegurar-se que els proveïdors de serveis també compleixin amb les normatives del RGPD, especialment si es transfereixen dades fora de l’Espai Econòmic Europeu (EEE).

6. Avaluació de la Seguretat de les Dades

La seguretat de les dades personals és un component clau en el compliment amb el RGPD. Les empreses han d’implementar mesures de seguretat tècniques i organitzatives per protegir les dades personals contra l’accés no autoritzat, l’alteració, la divulgació o la destrucció.

Exemple pràctic: Si l’empresa objecte té una base de dades amb informació de clients, s’ha de verificar si aquesta base està xifrada i si hi ha polítiques d’accés restringit per assegurar-se que només el personal autoritzat tingui accés a les dades sensibles.

Accions recomanades per a la Due Diligence:

• Revisar les mesures de seguretat que l’empresa té implementades per protegir les dades personals.
• Assegurar-se que es realitzen auditorias regulars i avaluacions de risc per identificar possibles vulnerabilitats.

7. Notificació de Violacions de Seguretat

El RGPD estableix que, en cas que es produeixi una violació de seguretat que afecti les dades personals, l’empresa ha de notificar l’autoritat de protecció de dades i, en alguns casos, als interessats afectats.

Exemple pràctic: Si un hacker accedeix a la base de dades d’una empresa i roba informació personal, l’empresa ha de notificar la bretxa a l’autoritat competent en un termini de 72 hores. Si les dades robades són sensibles, també haurà d’informar els afectats.

Accions recomanades per a la Due Diligence:

• Verificar que l’empresa tingui procediments per detectar, gestionar i notificar les brexes de seguretat de manera oportuna.
• Assegurar-se que l’empresa ha informat adequadament les autoritats i els interessats en casos anteriors de brexes.

Conclusió

Realitzar una due diligence completa pel que fa al RGPD és fonamental per mitigar els riscos legals i financers associats al tractament indegut de dades personals. Assegurant-se que l’empresa objecte compleix amb els requisits del RGPD, els inversors i compradors poden evitar sancions, litigis i danys a la reputació. Considerant aspectes clau com la identificació de dades personals, les bases legals per al tractament, les polítiques de privacitat i les mesures de seguretat, es pot garantir un tracte responsable.

Autor: Víctor Roselló, Advocat.

Si necessites més informació, contacta amb nosaltres!

Informació sobre protecció de dades

Denominació social
LEGAL IT GLOBAL 2017, SLP
Finalitat
Prestar el servei.
Enviament del Butlletí informatiu.
Legitimització
Compliment de la prestació de servei.
Consentiment.
Destinataris
Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d’un contracte de serveis vigent.
Drets
Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s’esmenten en la nostra Política de Privacitat.
Més informació
Consulta la Política de Privacitat.