ZRP
Tuca Zbarcea & Asociatii

Aspecte de GDPR în structura tranzacției la achiziționarea unei societăți. Asset deal și share deal

22 Februarie 2019   |   Raluca Puscas, Counsel & Diana Gavra, Associate - Peli Filip

Într-un articol anterior, am prezentat implicațiile GDPR în procesul de due-diligence derulat în cadrul unei tranzacții, însă impactul Regulamentului se extinde și asupra etapelor ulterioare, în special asupra structurii pe care o va avea tranzacția.

Raluca Puscas, Counsel & Diana Gavra, Associate - Peli Filip

 
 
Atunci când un potențial investitor are în vedere achiziționarea unei afaceri, există numeroase aspecte ce trebuie luate în considerare, precum activele societății țintă (target-ul), aspectele financiare, know-how-ul sau potențialele litigii în care societatea era implicată. Printre astfel de elemente, aspectele ce țin de practicile de aplicare și implementare a cerințelor Regulamentului general privind protecția datelor (UE) 2016/679 (GDPR) pot constitui un element esențial de luat în considerare, în special în industriile care se bazează pe datele persoanelor fizice și în care bazele de date reprezintă un activ valoros al societății.

Într-un articol anterior, am prezentat implicațiile GDPR în procesul de due-diligence derulat în cadrul unei tranzacții, însă impactul Regulamentului se extinde și asupra etapelor ulterioare, în special asupra structurii pe care o va avea tranzacția.


Acest articol își propune o prezentare comparativă (fără a fi exhaustivă) a câtorva aspecte interesante rezultate din aplicarea GDPR, care sunt influențate de mecanismul utilizat pentru achiziționarea unei societăți, mai exact asset deal, atunci când are loc o achiziție a activelor societății, sau share deal, atunci când are loc o achiziție a acțiunilor/părților sociale ale societății.

1.    Răspunderea pentru practicile GDPR ale target-ului

În cazul unei share deal

Având în vedere că în acest tip de tranzacții are loc o schimbare a acționarilor/asociaților societății, fără a avea loc și o schimbare a personalității juridice a entității care prelucrează datele și care are calitate de operator de date, se poate considera că răspunderea în baza GDPR, pentru practicile anterioare ale societății, rămâne în sarcina acesteia.

Aceasta înseamnă că, în lipsa unei înțelegeri a părților, răspunderea ar fi suportată indirect de noii acționari/asociați. În funcție de situația concretă și de iregularitățile identificate în procesul de due-diligence, pentru a-și limita expunerea, cumpărătorul poate avea în vedere includerea în documentele tranzacției a unor clauze de răspundere a vânzătorului pentru neregularitățile săvârșite înainte de perfectarea tranzacției (en. closing) care ar fi descoperite și sancționate de către autoritate după closing. În absența unor astfel de clauze, sau alături de acestea, potențiala expunere pe GDPR, precum și costurile aferente aducerii la conformitate a activităților de prelucrare vor trebui luate în calcul la stabilirea prețului de achiziție și, dacă este cazul, la stabilirea unei prag de limitare a răspunderii. Nu în ultimul rând, în cazul societăților care se bazează mult pe încrederea consumatorilor, riscul reputațional în eventualitatea unui incident de încălcare a securității datelor va trebui luat de asemenea în calcul.

Astfel, este important ca alocarea riscului și întinderea răspunderii să fie reglementate cât mai detaliat în documentele tranzacției. În industriile în care prelucrarea datelor este strâns legată de activitățile principale ale target-ului, poate fi avută în vedere includerea unor reprezentări și garanții legate de: (i) confirmarea faptului că societatea a desfășurat activitățile de prelucrare a datelor personale în conformitate cu prevederile legale și contractuale aplicabile, dar și cu politicile de confidențialitate comunicate persoanelor vizate; (ii) absența oricăror proceduri de investigație din partea autorităților pentru încălcări ale cerințelor GDPR; (iii) absența oricăror restricții la nivelul target-ului de a divulga, distribui sau utiliza datele personale colectate de către target; sau (iv) inexistența unor incidente de încălcare a securității datelor până la momentul closing-ului (sau, în funcție de structura tranzacției, până la alt moment în care cumpărătorul dobândește controlul asupra datelor).

Mai mult, în funcție și de modul în care tranzacția de tipul share deal este structurată, poate fi avută în vedere și includerea în documentele tranzacției a unor condiții suspensive, sub forma unor obligații în sarcina vânzătorului ca între momentul semnării documentelor și perfectarea tranzacției să ia măsurile necesare pentru a asigura conformitatea cu cerințele GDPR la nivelul societății.

Cu toate acestea, pentru societățile în care au loc prelucrări de date numeroase și complexe, trebuie avut în vedere faptul că un proces de due-diligence complet asupra aspectelor de GDPR ar putea presupune o perioadă însemnată de timp, iar neregularitățile care sunt dezvăluite cumpărătorului sau sunt identificate de acesta și nu sunt tratate în documentele tranzacției, ar putea fi considerate ca asumate de către cumpărător.



Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.



În cazul unei asset deal

În cazul în care datele personale fac parte din activele ce sunt obiectul achiziției, ar trebui ca răspunderea pentru încălcările normelor de protecție a datelor să rămână la entitatea vânzătorului (în calitatea sa de operator), iar cumpărătorul să răspundă doar pentru practicile sale de după momentul în care primește și prelucrează datele. Astfel, în documentele tranzacției, răspunderea pentru modul de desfășurare al activităților de prelucrare a datelor ar trebui să rămână în sarcina vânzătorului, pentru perioada de timp cât activitățile de prelucrare respective s-au aflat sub controlul său.

În plus, trebuie să fie luate în considerare angajamentele pe care target-ul și le-a asumat prin politicile de confidențialitate/notele de informare pe care le-a comunicat persoanelor vizate și care ar putea să interzică/limiteze maniera în care datele personale pot fi transferate ca parte a activelor societății. Un angajament al target-ului în sensul că nu va vinde sau transfera în nicio situație datele către terțe persoane, în afara celor indicate expres, poate constitui un obstacol în cazul în care potențialul cumpărător al afacerii nu este enumerat printre destinatari. O practică legată de divulgarea datelor în contextul unei tranzacții de tipul asset deal, în condițiile existenței unui astfel de angajament în politica de confidențialitate, am identificat însă doar în jurisdicții precum SUA sau Germania. De exemplu în SUA, într-o astfel de situație, transferul datelor a fost permis sub condiția respectării în continuare de către cumpărător a politicilor de confidențialitate deja comunicate de către vânzător și a oferirii posibilității pentru anumiți clienți ai vânzătorului de a refuza transferul (en. opt-out).

2.    Consimțământul pentru transmiterea de comunicări de marketing

Chiar dacă prelucrarea datelor în contextul activităților de marketing nu are neapărat întotdeauna ca temei legal consimțământul, în contextul unei tranzacții, acest temei poate avea cele mai multe implicații.

În cazul unei share deal

Este importantă verificarea temeiului legal în baza căruia target-ul transmite comunicările de marketing către persoanele fizice și, atunci când temeiul este consimțământul, dacă acesta a fost obținut în mod valabil. În cazul unei share deal, neavând loc o schimbare a operatorului de date, dacă acordurile au fost obținute valabil, societatea va putea trimite în continuare comunicări de marketing către baza sa de date și după perfectarea tranzacției.

În cazul în care în cadrul analizei de due-diligence, potențialul cumpărător constată că societatea target nu a obținut în mod valabil acordurile pentru marketing, dacă baza de date de marketing reprezintă o parte importantă a activelor target-ului, poate fi avută în vedere introducerea unei condiții suspensive în documentele tranzacției prin care vânzătorul să se oblige la remedierea situației.

În cazul unei asset deal

În această ipoteză, dacă baza de date către care se trimit comunicări de marketing face parte dintre activele transferate, se poate considera că în urma încheierii tranzacției va avea loc o schimbare a operatorului de date (societatea care va prelucra datele fiind diferită). În consecință, trebuie luat în considerare faptul că, în general, va trebui obținut din nou acordul persoanelor pentru prelucrarea datelor în scopuri de marketing de către cumpărător, în calitatea sa de nou operator, chiar dacă fostul operator (societatea target) deținea un consimțământ valabil înainte de tranzacție. Autoritatea de supraveghere din UK (ICO) consideră că pentru a se putea baza pe consimțământul pentru prelucrare obținut de o altă entitate, noua entitate trebuie să fi fost numită și identificată expres la momentul obținerii, în practică fiind puțin probabil ca potențialul cumpărător să fi fost menționat anticipat de către vânzător la colectarea consimțământului.

3.    Obligația de informare cu privire la prelucrarea datelor

În cazul unei share deal

Întrucât nu va avea loc o schimbare propriu-zisă a operatorului, de principiu, cumpărătorul nu ar trebui să refacă politicile de confidențialitate/notele de informare ale target-ului. Cu toate acestea, dacă au loc schimbări ale modului de prelucrare a datelor odată cu încheierea tranzacției (cum ar fi spre exemplu atunci când datele angajaților vor fi transferate către societăți din grup în noi țări din afara UE), societatea va trebui să își îndeplinească din nou obligația de informare.

În plus, dacă cumpărătorul va dori să utilizeze datele în alte scopuri, diferite față de scopurile în care acestea erau prelucrate de către target, atunci va trebui să efectueze o analiză pentru a determina dacă acest nou scop este compatibil cu scopul anterior, în sensul cerințelor GDPR, înainte de a se angaja în aceste noi activități.

În cazul unei asset deal

În acest caz, datorită faptului că entitatea ce va acționa ca și operator de date se va schimba, după perfectarea tranzacției, cumpărătorul va trebui să își îndeplinească propriile obligații de informare, ceea ce înseamnă comunicarea unor noi politici de confidențialitate/note de informare.

Ca un ultim aspect ce trebuie avut în vedere în legătură cu obligația de informare, evidențiem faptul că, întrucât cumpărătorul nu a obținut datele în mod direct de la persoanele vizate, ci de la vânzător, acesta va trebui să indice și sursa de unde a colectat respectivele date.



Intră pe
www.in-houselegal.ro pentru a vedea opiniile unor profesioniști care ocupă poziții de top în companii importante, urmărește temele dezvoltate de avocați sau membri ai comunității in-house și propune subiecte. Suntem alături de tine!



4.    Conformarea continuă după perfectarea tranzacției

Odată perfectată tranzacția, atenția cumpărătorului față de datele personale primite în urma achiziției nu trebuie diminuată, ci există aspecte care trebuie în continuare luate în considerare. Astfel, vor trebui avute în vedere aspectele practice legate de integrarea activităților preluate, inclusiv a activităților de prelucrare a datelor cu caracter personal, asigurarea respectării continue a principiilor și cerințelor GDPR inclusiv cu privire la activitățile de prelucrare de date preluate în urma tranzacției, posibil reevaluarea anumitor prelucrări de date efectuate de societatea target (de exemplu, în privința duratelor de stocare sau a respectării principiului reducerii la minim a datelor prelucrate) sau chiar reevaluarea unor relații contractuale (încheiate, de exemplu, cu persoanele împuternicite care prelucrează date în numele societății target sau cu operatorii asociați). De asemenea, ar fi necesară alinierea politicilor și procedurilor interne ale target-ului cu cele implementate în grupul de societăți din care face parte cumpărătorul (spre exemplu, în privința modului de păstrare a registrelor de evidență a prelucrărilor de date, a procedurilor aplicate în cazul unei încălcări a securității datelor, a modului de lucru aplicat în vederea respectării drepturilor persoanelor vizate), precum și alinierea/integrarea măsurilor tehnice și organizatorice aplicate. 

Totodată, există aspecte care ar putea necesita analize suplimentare, cum ar fi necesitatea numirii unui DPO sau modul în care DPO deja numit și-ar putea exercita atribuțiile și în privința societății nou achiziționate, reevaluarea criteriilor analizate în privința efectuării testelor de echilibru (în cazul în care temeiul prelucrării datelor este interesul legitim) sau al evaluării impactului operațiunilor de prelucrare asupra protecției datelor (spre exemplu, refacerea analizelor și evaluărilor respective, în cazul în care criteriile avute inițial în vedere s-au modificat în urma preluării activității unei noi societăți).

 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 432 / 14131
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
Din vorbă-n vorbă cu Cătălin Micu, partener după ultima rundă de promovări de la ZRP. ”Pentru client, proiectul său este cel mai important, iar avocatul trebui să-l trateze ca atare. Implicarea și disponibilitatea sunt principalele calități cerute unui avocat”
Bondoc și Asociații câștigă definitiv un litigiu privitor la prețurile de vânzare a medicamentelor
Cum percep avocații Budușan Albu & Asociații, prima firmă de penal-comercial înființată în Romania, piața de Businees Crime și cum văd modernizarea sistemului judiciar. Carte de vizită impresionantă: clientelă sofisticată, cazuri complexe și de multe ori transfrontaliere, sume în dispută de peste 1 mld. €
Avocații Enache Pirtea & Asociații au intrat în marile dosare de Business Crime încă din primul an de activitate. Pentru a gestiona relația cu organele de urmărire penală sau cu instanțele de judecată, îți trebuie o doză foarte mare de combativitate și perseverență, dar și un stomac tare și nervi de oțel, spun fondatorii firmei
Biroul Dentons din București are în lucru tranzacții de zeci de milioane de euro în Real Estate. Bogdan Papandopol, Partener: Se observă un grad crescut de „sofisticare” a tranzacțiilor; de cele mai multe ori, atât perioada de due diligence, cât și negocierile, sunt mai extinse
Dublă victorie pentru Suciu Popa la Londra, în cadrul Galei de Premiere Euromoney - Benchmark Litigation Europe Awards. Suciu Popa, firma anului în litigii, Luminița Popa, avocatul anului
Young Ambassadors Forum, la Mușat & Asociații. 35 de tineri din mai multe țări explorează problematica dreptului internațional umanitar și a advocacy-ului
Seminar Țuca Zbârcea & Asociații - „Prevenirea investigațiilor penale asociate inspecțiilor fiscale”, 10 iunie
Avocații de Real Estate de la ZRP au pe masa de lucru proiecte de investiții în agricultură, locuințe și birouri. Alina Güler, Senior Associate: Avem clienți care studiază potențialul terenurilor logistice, în timp ce alții urmăresc achiziția de spații industriale de producție
Investitorii cer mai multă predictibilitate și mai puțină birocrație. Oportunitățile din Real Estate, văzute de avocații ȚZA, implicați anul trecut în achiziția Agricost de către fondul Al Dahra, prima tranzacție majoră din agribusiness-ul local
Bucharest Arbitration Days – înscrierile la primul eveniment internațional de arbitraj din România continuă până pe data de 22 mai 2019
Avocații Dentons au asistat sindicatul bancar într-o finanțare acordată grupului CIECH. Biroul din București, implicat în tranzacție
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...