El régimen jurídico de la protección de datos debe tenerse en cuenta por las partes contratantes desde el inicio de las negociaciones en las operaciones de fusiones y adquisiciones.

Como parte de la due diligence, el vendedor comparte información confidencial de sus propios clientes con los posibles compradores en la llamada “data room”. Si se trata de datos que conducen o permiten la identificación del interesado, entra en juego la protección integral del Reglamento General de Protección de Datos europeo (RGPD). El RGPD establece que cualquier tratamiento de datos, como sucede al compartirlos en la “data room”, cae bajo la prohibición básica de tratamiento. Por otra parte, el RGPD indica también que el consentimiento especial del interesado legitima el tratamiento de datos. Sin embargo, con extensas bases de datos de clientes, obtener el consentimiento puede exigir un esfuerzo desproporcionado. Este problema puede resolverse anonimizando los datos. Por ejemplo, los estudios estadísticos del comportamiento de los usuarios sin referencia a una persona no pueden dar lugar a una identificación y, por tanto, están exentos de la protección de datos. Esta forma de proceder es el misma para todas las formas de transacción y no conlleva ninguna diferencia.

En una operación de compraventa de acciones, solamente se venden las acciones individuales de la empresa, y cualquier dato confidencial de los clientes o de la empresa permanece en poder de ésta. El responsable del tratamiento de los datos sigue siendo la misma persona (jurídica) después del acuerdo, por lo que no se requiere un procedimiento de protección de datos más estricto que el mencionado anteriormente.

En cambio, en el caso de la compra de activos deben tenerse en cuenta ciertos aspectos. Cada activo individual de la empresa se transfiere al adquirente como parte de una sucesión singular y, por tanto, constituye un tratamiento que requiere justificación. En este caso, se pueden adoptar medidas correctoras mediante un contrato tripartito entre el cedente, el cesionario y el cliente, lo que justifica el tratamiento según el art. 6.1.b) de la RGPD. Otra situación en la que se considera lícito el tratamiento de datos es la necesidad en virtud del art. 6.1.f) del Reglamento. En el contexto de este equilibrio, hay que tener en cuenta que el comprador conserva los datos en un nivel igualmente confidencial y continúa las operaciones comerciales como antes. Esto también debe ser en interés del interesado, quien, en caso de duda, siempre tiene un derecho de objeción indispensable y protector según el Art. 21 del GDPR.