LAS DUE DILIGENCE PREVIAS A UNA FUSIÓN O ADQUISICIÓN NO SIEMPRE CONTEMPLAN EL CUMPLIMIENTO DEL RGPD Y DICHA OMISIÓN PUEDE COMPORTAR CARGAS OCULTAS Y RESPONSABILIDADES AL AUDITOR.
En estos tiempos tan convulsos estamos viendo como gran número de compañÃas van cambiando de manos, ya sea por compras de fondos de inversión o por compra de otras empresas del sector e incluso por fusiones entre compañÃas afines o complementarias.
En todo caso, es muy habitual que de forma previa a la compra o transmisión de la empresa ofertada se realice una auditorÃa de Diligencia Debida o due diligence.
El objeto de dicha auditoria no es otro que dar la imagen fiel de la compañÃa objeto de compra y suele abarcar todas las áreas de actividad de la empresa y no sólo la financiera, como son las áreas: comercial, Propiedad Industrial, recursos humanos, prevención de riesgos laborales, operaciones, logÃstica, producción, etc.
Por ese mismo motivo, la multitud de áreas a auditar, el equipo de trabajo que realice la due diligence y analice la situación real empresarial no puede ser exclusivamente compuesto por personal del área financiera, ya que en numerosas ocasiones la imagen financiera no corresponde con la imagen real operativa de la empresa, siendo imprescindible la participación de un equipo multidisciplinar de profesionales, con conocimientos especÃficos de cada área.
Consciente de esa realidad, el legislador ha establecido la obligación para un tipo de empresas de realizar un informe de situación de estados no financieros, con la idea de acreditar esos otros parámetros de gestión no cuantificables en un balance o en una cuenta de explotación al uso (p.e. Medio
Ambiente, compliance, igualdad, etc).
En materia de protección de datos, los riesgos empresariales tienen una probabilidad estadÃstica baja, pero un impacto sobre el negocio severo, las posibles consecuencias catastróficas en caso de incidente grave o muy grave pueden comportar sanciones que pueden llegar a los 20.000.000 de euros o el 4% de la facturación mundial.
En este sentido el auditor que realice una due diligence, tendrá que identificar y valorar la existencia de conductas de riesgo en materia de protección de datos personales como son: prácticas comerciales agresivas, falta de ciberseguridad, carencia de DPD, la falta de documentación adecuada, la existencia de requerimientos de la autoridad de control competente o de clientes, etc. Todas las conductas anteriores pueden ser indicativo de la existencia de un severo problema en la gestión de la compañÃa.
En el caso de una compra o fusión (M&M), la probabilidad del riesgo y el impacto en el negocio tendrÃan que constar y cuantificar de forma clara y concreta en el informe de Diligencia Debida (Due Diligence), siendo el comprador el que determine si es de interés continuar con la adquisición o no. También en el mencionado informe se pueden proponer medidas de transferencia o aseguramiento del riesgo como puede ser la subscripción de una póliza de seguros que cubra la ciberseguridad o las posibles repercusiones en materia de protección de datos.
En todo caso, la conclusión es que una correcta auditoria de due diligence deberá identificar y valorar los riesgos en materia de protección de datos, y en su caso proponer medidas paliativas o de transferencia del riesgo, con las consiguientes repercusiones económicas en el precio de adquisición.
Finalmente, no nos cansaremos de recomendar la intervención del Delegado de Protección de Datos de la organización en toda la gestión de la auditoria de Diligencia Debida, el DPD el interlocutor natural con la autoridad de control y el profesional cualificado para asesorar y coordinar todo el proceso de respuesta a las denuncias interpuestas (art. 37 RGPD) asà como para atender los requerimientos de información que el responsable de fichero les solicite dentro de sus funciones..
Os seguiremos informando.
Un saludo.
--
Jorge Ortega