Las conocidas como “Due Diligence” son revisiones que suelen llevarse a cabo con carácter previo a la adquisición de una compañía, si bien puede acometerlas motu propio el vendedor al objeto de acreditar su situación ante potenciales inversores. Su objetivo es evaluar el cumplimiento legal, laboral, fiscal, entre otros aspectos, de la sociedad que se pretende adquirir (“target”) y, en su caso, detectar contingencias o riesgos que, posteriormente, se tendrán en cuenta en la negociación de la transacción.
Pues bien, aunque este pasado 25 de mayo se cumplieron ya 2 años de plena aplicabilidad del archiconocido Reglamento General de Protección de Datos (RGPD), hasta hace muy poco la protección de datos ocupaba generalmente un lugar residual en el alcance de estos procesos de revisión. La ciberseguridad no corría mejor suerte, salvo en transacciones relativas a sectores muy especializados.
En este contexto, sirvan las presentes notas para animar a ir cambiando la apreciación que hasta ahora se tenía de estas materias de cara a una era (post)COVID en la que el teletrabajo ha llegado para quedarse, se han digitalizado procesos a la carrera y muchos negocios se han visto abocados a saltar al online.
Para ese viaje no hacen falta alforjas
Entre muchas otras implicaciones, el RGPD supuso modificar el listado de documentación que venía solicitándose al target respecto a su cumplimiento con la normativa de protección de datos. En la mayoría de los casos este apartado de la Due Diligence se reducía a una sencilla revisión formal y mecánica (ficheros bien declarados; documento de seguridad; auditoría bienal aprobada (en caso de ser necesaria). El nuevo enfoque del RGPD y su principio de responsabilidad proactiva, unido a la falta de un catálogo predeterminado de medidas de cumplimiento, conlleva que una evaluación puramente estática y superficial sea básicamente estéril. Casi vale la pena ahorrársela.
No es posible evaluar los riesgos legales, económicos o reputacionales a los que está expuesto el target o calcular las inversiones que en esta materia se precisarían sin, entre otros, haber entendido qué tratamientos de datos personales se realizan, conocer si se ha padecido o detectado alguna brecha de seguridad y confirmar si el personal ha recibido formación específica.
“Tratamos datos personales de nuestros empleados, poco más”
Así responden muchas empresas (y ojo, quizás estén en lo cierto) pero ¿qué tipo de datos personales? Si el tratamiento estandarizado de datos personales en la esfera laboral no estaba exento de riesgos, la situación se complica si el target viniera aplicando alguna de las medidas que el Covid-19 nos ha traído: pasaportes inmunológicos, cuestionarios sobre contagios, cámaras de medición de la temperatura corporal…las dudas acerca de su impacto sobre la privacidad se han multiplicado.
Teletrabajo vs Derechos Digitales
Con el asentamiento del teletrabajo, los derechos digitales previstos en la nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, especialmente el conocido como derecho a la desconexión digital, se enfrentan a enormes obstáculos merced a la flexibilización -más bien, extensión- de las jornadas laborales que, en muchas ocasiones, está propiciando este nuevo entorno Covid-19. Igualmente, se observan tensiones en cuanto a los contornos del derecho a la intimidad en atención al uso de apps de geolocalización, cámaras de reconocimiento facial o sistemas de detección de la temperatura, cuyo carácter intrusivo no está exento de polémica.
Pero ¿De qué me sirve conocer otras contingencias del target en ausencia de medidas ante un ciberataque? La relevancia de cualquier contingencia fiscal o legal puede quedar postergada ante un ataque que impida a los empleados en régimen de teletrabajo acceder a la intranet de la compañía y, por tanto, a las bases de datos de clientes, a las infraestructuras del canal de venta online, a los correos electrónicos o a los secretos empresariales, entre otra información.
Más ciberataques, más ciberamenazas
En efecto, según diversos estudios, el cibercrimen se ha convertido en la tercera actividad ilegal más lucrativa, adelantando al mismísimo tráfico de drogas. De hecho, a finales del mes de marzo (apenas transcurridos 15 días desde la declaración del estado de alarma) se habían detectado más de 2.600 ciberataques diarios incluyendo dominios o archivos con las palabras “corona” o “COVID”. Es evidente que estos ataques encuentran su hábitat ideal en el entorno actual con el almacenamiento de información en los equipos personales de los propios empleados y el incremento de accesos remotos a los sistemas de la compañía.
Como quiera que esta nueva realidad no parece que vaya a abandonarnos, nuestra recomendación es situar los análisis de protección de datos y de ciberseguridad en una posición prioritaria en los ejercicios de due diligence y proteger el valor de los intangibles cuya exposición al riesgo se ha incrementado exponencialmente.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación