En cualquier operación de fusión o adquisición (M&A) llega un momento clave: el análisis de la empresa objetivo o lo que conocemos como “due diligence”. En ese proceso, el comprador necesita acceder a mucha información para valorar riesgos y tomar decisiones con criterio. Y, entre todos esos documentos, es habitual encontrarse con datos personales.

Aquí es donde entran en juego las normas de protección de datos. Que estemos en una operación empresarial no significa que podamos olvidarnos de ellas. Todo lo contrario, es justo en este tipo de situaciones donde más atención debemos prestar.

El Reglamento General de Protección de Datos (RGPD) establece una serie de principios que deben cumplirse siempre, incluso en un contexto de M&A. Por ejemplo, el principio de limitación de la finalidad (los datos solo pueden usarse para valorar la operación) y el de minimización (solo debe accederse a los datos estrictamente necesarios).

A nivel nacional, el artículo 21 de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, presume lícitos (salvo prueba en contrario) los tratamientos necesarios para operaciones de modificación estructural, o para la transmisión de negocios o ramas de actividad. Eso sí, esa licitud está sujeta a dos condiciones clave: que el tratamiento sea estrictamente necesario para el buen fin de la operación, y que, cuando proceda, se garantice la continuidad en la prestación de servicios.

Además, si finalmente la operación no se materializa, la parte compradora debe eliminar de inmediato los datos a los que haya tenido acceso. Nada de guardar “por si acaso”.

La buena noticia es que no hace falta pedir el consentimiento de cada persona afectada porque puede bastar con basarse en el interés legítimo del comprador. Eso sí, contar con una base legal no exime del cumplimiento del resto de principios mencionados que incluye el RGPD.

Algunas recomendaciones clave para hacerlo bien:

1. Suscripción de acuerdos de confidencialidad (NDA) por parte de todas las personas con acceso a la información, tanto internas como externas, en los que se deje constancia de las obligaciones relativas a la protección de datos.
2. Anonimización de los datos personales siempre que sea posible.
3. Establecimiento de procedimientos seguros de eliminación de la información en caso de que la operación no llegue a concluirse.
4. Acceso controlado a los datos más sensibles, por ejemplo, mediante entornos restringidos o “clean rooms”.

Estas medidas no solo ayudan a cumplir con la normativa, sino que también contribuyen a preservar la confianza entre las partes y a minimizar los riesgos regulatorios.