Datos con Destino: cómo el GDPR está cambiando el M&A

Por Suzy Bibko, gerente de marketing de conteúdo, EMEA y Alexandra Drummond, Gerente de Marketing, LATAM

Han pasado tres años desde que la UE introdujo el Reglamento General de Protección de Datos (GDPR) y, a pesar de las sólidas cifras de M&A durante la pandemia, los negociadores europeos enfrentan a una creciente ansiedad en torno a los datos.

Ningún negociador sensato buscaría una transacción que pudiera exponerlos a multas regulatorias de hasta el 4% de su facturación global, así como a un daño significativo a la reputación. Sin embargo, tres años después de la entrada en vigor del GDPR de la UE, esos temores son cada vez más importantes durante los procesos de M&A, especialmente en el contexto de una mayor actividad de acuerdos en la industria de la tecnología centrada en datos.

Inevitablemente, la actividad general de M&A se ha visto afectada por la pandemia. Los datos de Mergermarket revelan que hubo 6.472 acuerdos por valor de US$ 803.000 millones que involucran objetivos de Europa occidental durante 2020; esto es ligeramente superior a las cifras de 2019 de 7.343 transacciones por valor de US$ 748 mil millones, pero por debajo del máximo de 2018 de 7.480 transacciones por valor de US$ 918 mil millones.

Sin embargo, el sector menos expuesto a la pandemia, TMT, se ha opuesto a la tendencia. Los valores de las transacciones en el sector aumentaron considerablemente el año pasado a US$ 266 mil millones, en comparación con US$ 109 mil millones y US$ 194 mil millones en 2019 y 2018, respectivamente. Además, los volúmenes de transacciones han aumentado en cada uno de los últimos tres años.

Datos importantes

El valor de los datos sustenta muchas de estas transacciones, con valoraciones a menudo impulsadas por los esfuerzos del sector tecnológico por aprovechar sus datos para obtener información empresarial y ventajas comerciales. En este contexto, GDPR se ha convertido en un tema crucial en el proceso de negociación. Los adquirentes están preocupados por dos razones: cómo podrían convertirse en responsables de incumplimientos históricos de la regulación en las empresas objetivo; y cómo el GDPR podría evitar que capitalicen el valor total del objetivo.

Tales miedos son muy reales. En nuestra reciente encuesta de negociadores globales, el 55% de los encuestados dijeron que habían estado involucrados en transacciones de M&A que se habían estancado debido a preocupaciones sobre las prácticas de protección de datos del objetivo y su cumplimiento con GDPR.

Este número refleja el amplio alcance y la importancia de GDPR. El reglamento entró en vigor en mayo de 2018, ya que la UE buscaba obligar a las organizaciones a fortalecer sus políticas y procesos de protección de datos. Multas de hasta el 4% de la facturación global anual o 20 millones de euros, lo que sea mayor, esperan a cualquier organización que infrinja sus requisitos. Las infracciones también exponen a las empresas al escrutinio público y al oprobio.

Por esta razón, el cumplimiento de GDPR se ha convertido en un tema de alta prioridad para casi todas las empresas que buscan realizar fusiones y adquisiciones. Las disposiciones del GDPR se aplican a cualquier organización que recopile o maneje datos personales, y que incluya a casi todos los objetivos potenciales dentro de su alcance.

Los datos debidos

GDPR, por lo tanto, tiene que ser un enfoque clave del trabajo de debida diligencia. A los compradores les preocupa que puedan convertirse en responsables de las infracciones de protección de datos en el objetivo, o incluso que tengan que asumir los costos de las infracciones que ocurrieron antes de que se completara la transacción, pero que no salieron a la luz hasta más adelante.

Este riesgo está lejos de ser teórico. En el Reino Unido, por ejemplo, la Oficina del Comisionado de Información multó el año pasado al grupo hotelero Marriott con £ 18,4 millones después de que se supo que una base de datos de clientes se había visto comprometida en 2014. Marriott había adquirido la base de datos en cuestión cuando compró la compañía de hoteles rival Starwood en 2016. En junio de 2021, las multas totales alcanzaron los 285 millones de euros, con Italia con el valor más alto de multas (76 millones de euros) y España con el mayor número de multas (237), con 'base legal insuficiente para el procesamiento de datos' el motivo de la mayoría de las multas.

La identificación de tales infracciones puede no ser sencilla para los adquirentes, pero una evaluación sólida de las políticas y prácticas de protección de datos del objetivo puede al menos brindar cierta seguridad sobre si la organización se ha tomado en serio sus responsabilidades. Sin embargo, inevitablemente, este trabajo requiere de mucho tiempo, y se suma a la carga de trabajo de la debida diligencia resultando en que puede extender los plazos de los acuerdos.

Los compradores también pueden buscar protegerse de los problemas que surgen después de la finalización del acuerdo. Los acuerdos de M&A incluyen cada vez más representaciones y garantías integrales relacionadas con la privacidad y protección de los datos.

Venta por datos

Muchos vendedores querrán anticipar estos problemas, especialmente cuando las empresas se gestionan con un proceso de adquisición en mente. Como mínimo, las organizaciones deben conocer sus fortalezas, y cualquier debilidad potencial, en lo que respecta al cumplimiento de GDPR y problemas más amplios de privacidad de datos. La capacidad de señalar un enfoque claro y coherente de la protección de datos aumentará la credibilidad de un objetivo con los compradores potenciales.

Una parte importante de eso es cómo las organizaciones gestionan sus acuerdos de terceros con proveedores y proveedores de servicios. Estos a menudo exponen a las organizaciones a riesgos adicionales de protección de datos. De hecho, los terceros se han convertido en una ruta preferida para los atacantes cibernéticos, pero los detalles de tales vulnerabilidades pueden no ser evidentes de inmediato para un adquirente.

Otra cuestión es hasta qué punto el comprador se centra en los datos del objetivo como parte de su estrategia de negociación. En muchos casos, los activos de información del objetivo pueden representar una parte significativa de su valoración, pero no siempre es posible que un comprador adquiera todos estos datos. Esto se debe a que el GDPR requiere que las organizaciones piensen detenidamente sobre qué datos almacenan y retienen, con énfasis en eliminar cualquier dato que ya no sea necesario por razones justificables.

Los vendedores que no han dedicado tiempo a las políticas y prácticas de retención de datos pueden encontrar que no tienen derecho a pasar datos heredados a un adquirente, reduciendo su valor si esto ha sido algo en lo que el comprador estaba apostando. Se espera que los compradores establezcan los fines para los que se obtuvieron originalmente los datos que desean adquirir; estos propósitos pueden dejar de ser válidos después del deal.

Datos de entrega

Hay mucho en juego, y se espera que sea más alto. Ya en 2017, el gigante estadounidense de las telecomunicaciones Verizon obtuvo un descuento de 350 millones de dólares en la compra de Yahoo cuando se supo que la empresa de Internet había sufrido una serie de violaciones de datos. Desde entonces, la investigación de Forescout Technologies ha encontrado que el 73% de las empresas considerarían una violación de datos no divulgada como un factor decisivo durante las fusiones y adquisiciones; el 65% dijo que había llegado a lamentar un acuerdo completado en medio de preocupaciones de seguridad cibernética.

Es posible que esas cifras aumenten pronto, con los legisladores decididos a fortalecer aún más la regulación de protección de datos. Viviane Reding, la política luxemburguesa que logró la aprobación del GDPR original, ya está hablando de una revisión del reglamento. En particular, quiere ver un enfoque renovado en una aplicación más estricta, tal vez a través de un organismo centralizado en lugar del sistema actual de reguladores nacionales.

Si ese es el caso, GDPR podría convertirse en un tema aún más importante para los negociadores. Para muchas empresas, los problemas de protección de datos pueden llegar a representar una ventaja o un fracaso para las transacciones. Elegir un data room virtual compatible con GDPR para administrar su proyecto de debida diligencia  es imperativo para maximizar el cumplimiento y minimizar los riesgos y las infracciones de GDPR. Utilice nuestro checklist para asegurarse de que su proveedor no lo ponga a usted ni a sus datos en riesgo.