El proceso Due Diligence o Diligencia Debida se enmarca en lo que, en términos anglosajones, consiste una operación de M&A, como un elemento previo a la adquisición, en general, de una sociedad. Se puede definir como todo proceso de búsqueda de información llevado a cabo por el comprador o vendedor, en aras de evaluar los riesgos y contingencias de la sociedad objeto de compraventa (o de sus activos) y de su situación económico-financiera, con el objetivo de obtener la información precisa para formar su voluntad de adquirir la empresa, el precio de la misma, así como las condiciones del contrato.

La regulación de las operaciones de Due Diligence en el ordenamiento jurídico español encontró su primer enclave en el artículo 19 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Este precepto mandataba que, en los supuestos en los que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de naturaleza análoga, no se producirá cesión de datos, sin perjuicio de lo establecido en el artículo 5 de la Ley Orgánica 15/1999 de protección de datos de carácter personal (en adelante, LOPD).

Esto no significaba otra cosa que la supervivencia del tratamiento primitivo aun realizado por un nuevo responsable del fichero que, conforme al artículo 5 de LOPD, debía contar con la preceptiva información a los interesados. No obstante, el Reglamento de desarrollo de la LOPD no contemplaba el tratamiento previo a la realización de este tipo de operaciones mercantiles, pero sí una vez consumadas. El encuadre de las Due Diligence en el tratamiento de datos personales no encontraba encaje jurídico alguno.

Así con todo, hasta el año 2018 las Due Diligence suponían, de facto, una cesión de datos personales, por constituirse como una operación previa a una fusión o escisión mercantiles, no estando dotada de una legitimación expresa por parte del legislador.

Bien es cierto que ya la entonces Directiva 95/46/CE definía el interés legítimo del responsable como causa legitimadora del tratamiento de datos personales. Sin embargo, el legislador español se olvidó -en el buen sentido- de recoger esta previsión legal.

Con la entrada en vigor del Reglamento 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, RGPD) se define el referido interés legítimo del responsable como causa legitimadora del tratamiento de datos personales. Sin duda, un primer paso, ligeramente apreciable, que allana el camino de las Due Diligence en el ordenamiento jurídico español.

No obstante, el interés legítimo del responsable para el tratamiento de los datos ha de cumplir un triple filtro; una consideración judicial y no legal, como así dimana de la Sentencia del TJUE C1-13/16. Esta triple consideración debe tener en cuenta:

  1. Debe existir un interés legítimo por parte del responsable. Además, como así consideró el WG29, este interés ha de ser concreto, de modo y manera que debe poder permitir el análisis de los intereses en juego; lícito en relación con el derecho nacional y de la Unión Europea y real y no especulativo.
  2. El tratamiento de datos personales debe ser necesario para cumplir con dicho interés
  3. No deben existir una prevalencia de los derechos y libertades de los interesados frente al interés legítimo del responsable

En este sentido, de la pequeña modificación introducida por el RGPD se puede concluir que la realización de una Due Diligence por parte de un responsable encuentra su paraguas legal en su propio interés legítimo, siempre que el tratamiento de los datos personales sea necesario para satisfacerlo y no prevalezcan los derechos y libertades del interesado. Sin embargo, el responsable debe ponderar motu proprio los tres requisitos que introdujo el TJUE para considerar legítimo su interés.

A diferencia con la trasposición de la Directiva 95/46/CE, el legislador español solventa esta situación con la entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDDGDD). En concreto, el nuevo artículo 21 sienta una importante presunción: serán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, necesarios para el buen funcionamiento de la operación societaria.

Lo que hace el legislador es modernizar el artículo 19 del Reglamento de desarrollo de la Ley Orgánica 15/1999 e introduce la legitimación para todos aquellos tratamientos anteriores a una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de naturaleza análoga, siempre con el deber de informar a los interesados, a excepción de cuando se pueda imposibilitar u obstaculizar gravemente la consecución de los objetivos que sustentan el tratamiento de datos personales (artículo 14 RGPD).

Dejar respuesta

¡Por favor introduce tu comentario!
Por favor introduce tu nombre aquí