Protección de datos – Cláusulas contractuales
La primera parte de este newsletter destinado a la protección de datos en el marco de la compraventa de empresas, ha tratado la estructura de transacción y la due diligence. Otro ámbito transaccional que está afectado por este tema es la del clausulado del contrato de compraventa. Independientemente si se trata de un asset deal o de un share deal, el contrato de compraventa debe comprender reglas acerca de las responsabilidades de las partes en caso de una infracción de la normativa de protección de datos en la empresa objeto de venta. Tal y como se ha expresado en el newsletter anterior, la relevancia legal y económica de un incumplimiento en materia de protección de datos ha crecido bastante, por lo cual a día de hoy la negociación del correspondiente régimen de responsabilidad contractual resulta muy importante.
Como siempre, en una situación de negociación, el poder de negociar y el saber cómo negociar resultan decisivos para el resultado de la misma. Mientras que el vendedor tiene interés en excluir cualquier responsabilidad personal, el comprador quiere establecer una responsabilidad exhaustiva de aquel en este contexto. Ahora bien, en torno a la protección de datos existen intereses muy opuestos que suelen complicar la negociación. Por un lado, existe el pensamiento empresarial de que es prácticamente imposible cumplir con una normativa tan compleja como la de protección de datos, sobre todo tratándose de pymes. Por ello, el vendedor suele tener poca disposición de responder por un correcto cumplimiento de toda esta normativa por “ser imposible”. Por otro lado, desde el punto de vista del comprador es imposible calcular el riesgo económico como consecuencia de alguna infracción en el ámbito de protección de datos. Resulta que la normativa legal establece márgenes de sanciones económicas muy amplios, márgenes que aplica cada autoridad de protección de datos de forma individual y diferente. Además, por motivos de tiempo y costes en la práctica no se suele realizar una due diligence exhaustiva en la materia de protección de datos verificando su debido cumplimiento por la empresa objeto de venta. Por todo ello, la parte compradora pretende claramente limitar su propio riesgo en la transacción ampliando la responsabilidad de la parte vendedora al máximo.
Dado que solo el vendedor puede conocer el riesgo que se da en la empresa por una infracción de la normativa de protección de datos, por regla general el comprador rechaza la exclusión de su responsabilidad personal. Lo que puede ser una solución en el marco de la negociación de un adecuado régimen de responsabilidad contractual es el reparto y la limitación temporal de la responsabilidad del vendedor. De este modo, el vendedor queda responsable de cualquier infracción hasta el traspaso de la empresa, mientras que le corresponde al comprador de cortar cualquier incumplimiento en el ámbito de protección de datos a partir de este momento. Se puede completar este régimen de responsabilidad estableciendo un plazo de prescripción y un importe máximo de responsabilidad del vendedor.