Due Diligence y RGPD
En una due diligence se realiza una investigación exhaustiva sobre el estado legal, financiero y operativo de una empresa que esté considerando una fusión, adquisición o inversión. Sin embargo, uno de los aspectos más relevantes y que a menudo pasa desapercibido es la compliance con el Reglamento General de Protección de Datos (RGPD) . En este artículo, exploraremos las cosas clave a tener en cuenta cuando se realiza una due diligence en relación con el RGPD, proporcionando ejemplos prácticos para ayudarte a comprender su importancia.
1. Revisión de los Tipos de Datos Personales.
Uno de los primeros pasos en una due diligence respecto al RGPD es identificar qué tipos de datos personales maneja la empresa. Bajo el RGPD, los datos personales son cualquier información relacionada con una persona identificable, como su nombre, dirección, número de teléfono, correo electrónico, entre otros. Además, dentro de los datos personales, existen categorías especiales de datos, como los datos de salud o información financiera, que requieren un nivel más alto de protección.
Ejemplo práctico: Si la empresa objeto de la due diligence es una clínica médica, es fundamental verificar que los datos sensibles, como historiales médicos, se almacenan y gestionan de acuerdo con las normativas más estrictas del RGPD.
Acciones recomendadas para la Due Diligence:
- Verificar que la empresa haya clasificado correctamente los datos personales y haya tomado medidas para protegerlos.
2. Evaluar la Base Legal para el Tratamiento de Datos
El RGPD establece que el tratamiento de datos personales solo puede realizarse si se cumple con una de las bases legales previstas por la ley. Estas bases incluyen el consentimiento del interesado, la necesidad de cumplir con un contrato, el cumplimiento de una obligación legal, entre otros.
Ejemplo práctico: Si la empresa objeto de la due diligence recopila datos personales de clientes para ofrecer servicios personalizados, es importante verificar que han obtenido el consentimiento explícito de los usuarios o que han basado el tratamiento en la ejecución de un contrato.
Acciones recomendadas para la Due Diligence:
- Verificar los registros de consentimiento en caso de que se utilice esta base legal.
- Revisar los contratos para asegurarse de que el tratamiento de datos personales esté adecuadamente justificado.
3. Revisión de las Políticas de Privacidad
Una due diligence en cuanto al RGPD también debe incluir una revisión exhaustiva de las políticas de privacidad que la empresa objetivo tiene en vigor. Las políticas de privacidad deben ser claras, transparentes y fácilmente accesibles para los usuarios, informándoles sobre cómo se recogen, utilizan, almacenan y protegen sus datos.
Ejemplo práctico: Una tienda online debe tener una política de privacidad que detalle cómo maneja la información personal de sus clientes, desde los datos de pago hasta las preferencias de compra. Si esta política no se ha actualizado de acuerdo con el RGPD, podría ser un indicio de que la empresa no cumple con las normativas de protección de datos.
Acciones recomendadas para la Due Diligence:
- Verificar que las políticas de privacidad están actualizadas y cumplen con los requisitos del RGPD.
- Asegurarse de que la empresa tenga mecanismos para garantizar la transparencia en el tratamiento de datos.
4. Evaluación de los Derechos de los Interesados
El RGPD otorga a las personas varios derechos en relación con sus datos personales. Entre estos derechos se encuentran el derecho de acceso, rectificación, supresión, portabilidad, oposición y limitación del tratamiento. Una parte importante de la due diligence es revisar cómo la empresa gestionaría estas solicitudes y si tiene un procedimiento adecuado para cumplir con los derechos de los interesados.
Ejemplo práctico: Si un cliente solicita que se eliminen sus datos personales de la base de datos de la empresa, esta debe cumplir con dicha solicitud en los plazos establecidos, salvo que exista una base legal que lo impida.
Acciones recomendadas para la Due Diligence:
- Asegurarse de que la empresa tiene procedimientos establecidos para gestionar las solicitudes de los interesados.
- Verificar que existen plazos definidos para la respuesta a las solicitudes de acceso, rectificación o eliminación de datos.
5. Revisión de los Acuerdos con Proveedores y Subcontratistas
En muchos casos, las empresas subcontratan el tratamiento de datos personales a terceros (proveedores de servicios, subcontratistas). Bajo el RGPD, es imprescindible que exista un contrato de encargo de tratamiento que regule esta relación, especificando cómo se deben manejar los datos personales y asegurando que se cumplan las obligaciones legales.
Ejemplo práctico: Si la empresa objeto de la due diligence tiene un contrato con un proveedor de servicios de almacenamiento en la nube, se debe verificar que dicho contrato incluya cláusulas específicas que garanticen que el proveedor cumpla con las normativas del RGPD.
Acciones recomendadas para la Due Diligence:
- Revisar los acuerdos con proveedores y subcontratistas para verificar que incluyan las cláusulas adecuadas de protección de datos.
- Asegurarse de que los proveedores de servicios también cumplen con las normativas del RGPD, especialmente si se transfieren datos fuera del Espacio Económico Europeo (EEE).
6. Evaluación de la Seguridad de los Datos
La seguridad de los datos personales es un componente clave en la compliance con el RGPD. Las empresas deben implementar medidas de seguridad técnicas y organizativas para proteger los datos personales contra el acceso no autorizado, la alteración, la divulgación o la destrucción.
Ejemplo práctico: Si la empresa objetivo tiene una base de datos con información de clientes, se debe verificar si dicha base está cifrada y si existen políticas de acceso restringido para asegurar que solo personal autorizado tenga acceso a los datos sensibles.
Acciones recomendadas para la Due Diligence:
- Revisar las medidas de seguridad que la empresa tiene implementadas para proteger los datos personales.
- Asegurarse de que se realizan auditorías regulares y evaluaciones de riesgo para identificar posibles vulnerabilidades.
7. Notificación de Brechas de Seguridad
El RGPD establece que, en caso de que ocurra una brecha de seguridad que afecte a los datos personales, la empresa debe notificar a la autoridad de protección de datos y, en algunos casos, a los interesados afectados.
Ejemplo práctico: Si un hacker accede a la base de datos de una empresa y roba información personal, la empresa debe notificar la brecha a la autoridad pertinente en un plazo de 72 horas. Si los datos robados son sensibles, también deberá informar a los afectados.
Acciones recomendadas para la Due Diligence:
- Verificar que la empresa tenga procedimientos para detectar, gestionar y notificar brechas de seguridad de manera oportuna.
- Asegurarse de que la empresa ha informado adecuadamente a las autoridades y a los interesados en casos previos de brechas.
Conclusión
Realizar una due diligence completa en cuanto al RGPD es fundamental para mitigar los riesgos legales y financieros asociados al tratamiento indebido de datos personales. Al asegurarse de que la empresa objetivo cumple con los requisitos del RGPD, los inversores y compradores pueden evitar sanciones, litigios y daños a la reputación. Considerando aspectos clave como la identificación de datos personales, las bases legales para el tratamiento, las políticas de privacidad y las medidas de seguridad, se puede garantizar un trato responsable y conforme con la legislación de protección de datos.
Autor: Victor Roselló, Abogado.
Si necesitas más información, ¡contacta con nosotros!:
Denominación social:
LEGAL IT GLOBAL 2017, SLP
Finalidad:
Prestar el servicio.
Envío del Boletín informativo.
Legitimización:
Cumplimiento de la prestación del servicio.
Consentimiento.
Destinatarios: Tus datos no serán compartidos con ningún tercero, salvo a aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.
Consulta la Política de Protección de datos completa a aquí.
