Hasta la fecha se ha tratado el ámbito de la protección de datos en el marco de la adquisición de empresas más bien como un tema marginal. Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en mayo de 2018 se cambió la normativa legal en su totalidad. A modo de ejemplo, se aplican sanciones económicas muy importantes en caso de una infracción de esta nueva normativa. Asimismo, a día de hoy muchas veces los datos (de clientes) existentes en la empresa objeto de adquisición tienen un valor económico elevado para el comprador. Sin embargo, la Ley establece unos requisitos estrictos para la transmisión de datos personales.

Ya al principio de una transacción es recomendable considerar bien la estructura más idónea desde el punto de vista de la normativa de protección de datos. Ello resulta todavía más relevante, si los datos personales son el motivo principal de la adquisición. En estos casos y por regla general, el share deal es preferible, dado que el comprador adquiere la empresa en su totalidad mediante la transmisión de sus participaciones sociales. De esta forma se realiza un cambio a nivel de los socios, sin embargo, no existe una transmisión de datos a nivel de la propia empresa.

Diferente es el caso del asset deal, transmitiendo cada activo de la empresa de forma individual mediante el contrato de compraventa. En caso de que el activo consista en datos personales, se trata de una transmisión de datos que exige una legitimación legal para que sea válida. En general, la transmisión de datos inherentes a relaciones contractuales y comerciales en marcha resulta más fácil que la transmisión de datos de contratos antiguos (cartera de clientes). En este último caso es necesario que exista un interés del comprador suficientemente importante que pueda justificar la transmisión de los datos, o el cliente afectado haya dado su visto bueno para la transmisión de sus datos. En la práctica transaccional, la tarea más importante es establecer una transmisión válida de los datos personales para garantizar su uso por el comprador y evitar sanciones.

En el marco de la due diligence, la normativa de protección de datos tiene doble efecto. Por un lado, se debe verificar si la revelación de los datos personales frente al interesado esté permitida por el RGPD, ya que tal revelación de datos es un caso de procesamiento de datos que exige una legitimación legal. Por otro lado, es muy recomendable llevar a cabo una verificación de que la empresa haya cumplido con sus obligaciones legales de protección de datos. El RGPD ha aumentado considerablemente el riesgo de un incumplimiento de estos deberes legales. En la práctica muchas veces se renuncia a una verificación exhaustiva, sin embargo, es muy importante comprobar los temas que puedan significar un riesgo alto en la transacción concreta sobre la base de la correspondiente documentación a facilitar por el vendedor. Ello resulta todavía más importante si los datos personales a transmitir son el motivo principal para la adquisición.