La protección de datos personales y el riesgo de la ciberseguridad en los procesos de auditoría previa (“due diligence”) en las adquisiciones y fusiones de empresas (“M&A").

                                                                                 

1.             Introducción:

En la actual economía digital, donde diferentes tipos de datos han pasado a ser el combustible del funcionamiento de gran cantidad de compañías, es necesario repensar los criterios de valuación para estos datos, más frente a las promesas de las fórmulas de Big Data[1] en cuanto a la obtención de ganancias considerables al involucrar metodologías con suma efectividad para la comercialización de productos y servicios a los clientes.

Ante lo cual cualquier comprador que no encare un adecuado procedimiento de due diligence previo a la adquisición de las compañías, y que necesariamente comprenda el análisis de la situación en que se encuentran los datos, afrontará serios riesgos legales y de negocios. El riesgo asociado a los datos en la compra de paquetes accionarios de compañías tiene un carácter novedoso, tan es así que hace diez años no se preveía.[2]  Existe una tendencia cada vez más marcadas en las transacciones de fusiones y adquisiciones a abandonar la consideración de los datos como una cuestión exclusiva de los sectores de tecnología y que puede resolverse después del cierre en el proceso de integración entre la empresa compradora y la empresa a ser adquirida, en adelante la empresa o compañía “target”.

El análisis del status que presentan los datos en las compañías “target” al momento de adquisición de su paquete accionario es un nuevo capítulo dentro de los procesos de due diligence, que merecen un estudio pormenorizado y específico, por tratarse de activos inmateriales con particularidades propias, que se distancian del estudio del impacto de las contingencias sobre otros recursos más trillados de las empresas como suelen ser los empleados, la propiedad intelectual, bienes inmuebles o los créditos.

El criterio imperante en la actualidad considera a los datos personales como un activo crítico de la empresa, por lo cual el valor de adquisición de activos asociados a estos datos va depender de las restricciones a los cuales está sometido su uso. Frente a lo expuesto deviene necesario llevar a cabo un preciso y adecuado due diligence en relación al principio de calidad de los datos, íntimamente vinculado a que los mismos sean adecuados a la finalidad que motivó su recolección. 

El principio de calidad de los datos viene a resultar la garantía de cumplimiento del derecho de los ciudadanos a la autodeterminación informativa, el cual se concreta jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a sus datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular.[3] Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder de oponerse a esa posesión y usos.[4]

Nuestro país cuenta con una legislación lo suficientemente exigente en cuanto a la protección de datos personales, que ha llevado a recibir la consideración como legislación adecuada conforme los altos parámetros de la Unión Europea, lo que sin duda ayuda a la verificación de la legalidad de los datos personales bajo análisis.[5] 

El componente internacional deviene relevante no sólo ante la constante migración de datos personales de un país a otro, con regímenes legales de protección de datos personales disímiles en cuanto a sus alcances, sino también frente a la reciente expansión extraterritorial del Reglamento General de Protección de Datos sancionado por la Unión Europea. Dicho reglamento, con vigencia a partir de mayo de 2018, aplicable al tratamiento de datos personales de personas físicas ubicadas en la UE, por parte de responsables o encargados no ubicados en la UE cuando el tratamiento de los datos está vinculado al ofrecimiento de bienes o servicios, ya sea gratuitos u onerosos, a personas físicas en la Unión Europea, y al monitoreo de ciudadanos europeos, a través de elementos tan comunes como las tecnologías de cookies o de huellas en Internet y la confección de perfiles en virtud de sus preferencias, independientemente del lugar donde esté establecida la compañía encargada del tratamiento de datos

La diversidad en los requerimientos no está solamente circunscripta a la ley aplicable de diferentes países sino también a recaudos que resulten aplicables a los datos según la industria que esté involucrada. A manera de ejemplo resulta claro que los datos personales vinculados a la industria de la salud presentan restricciones más significativas que aquellos de cualquier otra industria.

Sin perjuicio de la importancia de las cuestiones en juego no existe evidencia concreta respecto al conocimiento acabado o concientización  de los administradores de las organizaciones en cuanto a las contingencias derivadas del manejo de datos de terceros, ni de los factores o circunstancias que pueden afectar el valor de los activos basados en esos datos personales y que se encuentran bajo la custodia de las organizaciones que dirigen. 

Este desconocimiento puede derivar en claras responsabilidades individuales en la gestión frente a la tendencia de las nuevas regulaciones de aplicar en su versión más rigurosa las nociones de accountability o rendición de cuentas, las cuales se apoyan en la evaluación del riesgo y la consecuente implantación de un modelo de cumplimiento adecuado a la realidad de cada sujeto obligado por las respectivas leyes aplicables.

A todos los relevantes aspectos mencionados se suma la cada vez más acuciante cuestión de la ciberseguridad con su impacto sobre los datos personales. Solamente en la primera mitad de 2016 se han denunciado públicamente 900 quiebres de seguridad de redes, que demuestran que la necesidad de seguridad para los datos personales se incrementa drásticamente. Se anticipa que en los Estados Unidos los accionistas comiencen a demandar a los directores por el impacto que puede llegar a tener un due diligence deficiente sobre los datos que posea la empresa a ser adquirida.  Resultando más complejo este análisis cuando se está en presencia de adquisiciones de empresas con datos distribuidos en diversas subsidiarias en diferentes jurisdicciones con los consecuentes diferentes marcos legales aplicables.

2.        ¿Cuáles son las cuestiones a ser consideradas en un proceso de due diligence que involucre datos personales?

2.a) Mapeo de datos y calidad de los datos a transferirse

La primera etapa de la pesquisa debe estar orientada a realizar un inventario y mapeo de ubicación de los datos personales en posesión de la empresa target.  Es necesario precisar la locación de los datos y activos de información para poder protegerlos y crear mayor valor sobre los mismos. La ubicación de los datos resulta relevante puesto que en gran cantidad de casos se produce una transferencia de los datos hacia terceros ajenos a la empresa target, con las correspondientes consecuencias que se pueden desprender en relación a la seguridad de los datos personales.  Otro factor a considerar es la importancia de los datos almacenados en la nube, frente al riesgo de perder el rastro de aquellos datos que se encuentren almacenados bajo esa modalidad. Esta cuestión deviene crítica puesto que esos datos pueden necesitarse, recabarse o analizarse en caso de juicios, un pedido vinculado con el cumplimiento de políticas o un incidente de ciberseguridad. En virtud de lo cual, resulta fundamental constatar la facultad de acceso a esos datos en forma rápida y precisa.

Junto con el mapeo se debe realizar un inventario de los datos que conlleva una clasificación de los mismos. Habitualmente gran parte de los datos de una organización es redundante, obsoleta y trivial (ROT) por lo cual corresponde identificarla para proceder a acotarla conforme criterios de eficiencia de administración de contenidos y política de retención de datos, en caso de existir.  A manera de ejemplo de datos ROT se pueden mencionar a la información almacenada en archivo de registro de operaciones antiguas, copias de borradores o documentación que no es más requerida.

Así como hay datos ROT también existen datos sensibles o que resultan cruciales para la empresa target, y que sin dudas merecerán un mayor grado de resguardo y protección que el resto, independientemente del mayor grado de protección que pueda exigir imponer el marco legal aplicable. 

Los compradores deberán identificar aquellos datos personales que serán necesario transferir, a los fines de concretar la transacción (lista de sueldo de los empleados de la empresa target, datos médicos como por ejemplo enfermedades preocupacionales, etc), evaluando si es requerido el consentimiento o cualquier otra formalidad para que se permita dicha transferencia.

Otros elementos a ser contabilizados en un inventario son las herramientas de análisis de los datos que permiten convertirlos en ingresos para la compañía. Sin duda que dicha incorporación en el inventario podrá servir para darse cuenta si la empresa cuenta con una cultura de los datos, y el valor que se podrá obtener de los datos que se recolectan.

Efectuado el inventario y mapeo de datos es conveniente pasar a identificar las distintas etapas del ciclo de vida de los datos personales dentro de dicha empresa. Es decir, analizar el alcance bajo el cual la empresa target obtiene, almacena, usa o procesa y elimina datos personales ya sea de sus clientes, empleados u otros sujetos. Asimismo se debe tener en cuenta el país donde se realiza el tratamiento de los datos, a fin de verificar los recaudos que impone la ley que resulte aplicable al tratamiento de datos que lleva adelante la empresa target.

El diagnóstico sobre la situación de los datos en cada una de las diferentes etapas que conforman el ciclo de datos responden al principio de calidad del dato, del cual se desprende que los datos por más que se encuentren en posesión de la empresa, resultan ser, en la mayoría de los casos, de titularidad de terceros interesados, por lo cual al menos se requiere verificar la obtención de los consentimientos de sus titulares y los propósitos brindados para su uso. 

Dichas particularidades no son menores puesto que si los datos no hubiesen sido obtenidos en forma legítima no podrán ser utilizados, y por ende careciendo de valor alguno, salvo que se obtuviesen nuevos consentimientos sobre esos mismos datos, con los significativos costos que pueden implicar para el comprador. La situación descripta puede verse agravada en determinadas jurisdicciones, como Irlanda, donde el comisionado encargado de la protección de datos puede ordenar la eliminación de los datos obtenidos en forma ilegítima.

La posesión de datos personales no siempre implica el derecho a utilizar dichos datos. Tanto el marco jurídico como los proveedores de datos personales habitualmente imponen restricciones en el uso para los receptores de los datos personales. Resulta ejemplificativa la fuerte sanción impuesta, tanto al vendedor como el comprador, por autoridad alemana en protección de datos personales, en relación a una transacción vinculada con el traspaso de activos, donde sostuvo que las direcciones de correos electrónicos y los números de teléfono de los consumidores en posesión del vendedor no pueden ser utilizados por el comprador para objetivos de marketing, al menos que se cuente con el consentimiento de los consumidores para recibir correos electrónicos publicitarios o llamadas por parte del comprador. Una vez terminados dichos contratos los receptores de los datos están obligados a destruir o devolver los datos recibidos. De lo expuesto se intuye que las restricciones en el uso futuro de los datos por el comprador puede reducir significativamente el valor de los datos de la compañía target.

Es de destacar que la transferencia de datos personales de clientes no solamente se presenta en caso de operaciones de fusiones y adquisiciones de participaciones accionarias, sino también en el caso de transferencia de activos cuando una compañía decide cesar en su operación, y transferir los activos valiosos a otra empresa, o también en procedimientos falenciales donde se intentó vender los datos personales de los usuarios, por resultar el único activo con todavía algún valor. 

A fines de cumplimentar con este diagnóstico se deberá cumplimentar una evaluación del riesgo en cada una de las etapas del ciclo, así como en cada uno de los productos o servicios que involucren el manejo de datos personales.

Este tipo de evaluación del riesgo ya ha sido adoptados por la legislación europea, así como ciertas resoluciones de la Dirección Nacional de Protección de Datos Personales,[6] al regular los conceptos de la privacidad por diseño, y la obligación de conducir evaluación de impacto en la privacidad para clarificar cómo los datos van a ser tratados y diseminados, dando cada vez más control a los clientes sobre la forma en que los datos son obtenidos y tratados a través del otorgamiento de opciones de salida en el tratamiento de sus datos. Para poner en práctica este enfoque es esencial la realización de un Análisis de Impacto en la Privacidad (Privacy Impact Assessment o PIA de sus siglas en Inglés) que no es más que el ejercicio de análisis de riesgos con el que se intenta identificar todos los posibles riesgos para la privacidad que puede implicar el nuevo proceso y a los que habrá que poner remedio.

            2.b) Particularidades de los datos personales que dificultan la utilización de cláusulas de representaciones y garantías estándar.

Las cláusulas de representaciones y garantías habitualmente utilizados en los contratos de compraventa de paquetes accionarios o de transferencias de fondo de comercio son amplias, y no suelen ocuparse de los detalles o especificaciones propios de los activos de datos, al menos que se esté en presencia de un activo muy dependiente o basado en datos personales, como sería el caso de una red social o buscador.

A su vez hay particularidades que se presentan en determinadas jurisdicciones que deben ser particularmente tenidas en cuenta, como Estados Unidos, donde la Federal Trade Commission (autoridad con competencia en materia de protección de privacidad y datos) considera que el adquirente es responsable por las faltas cometidas por la  target aún antes de su adquisición.

En tanto que los estados miembros de la Unión Europea y otras jurisdicciones específicas, entre las que se encuentra nuestro país, también merecen especial atención frente a las exigentes leyes de privacidad con que cuentan, y ameritando que las cuestiones detectadas en el due diligence sean analizadas por abogados especialistas en la materia de las jurisdicciones relevantes para que identifiquen las implicancias legales y cuestiones vinculadas con las normas de cumplimiento o compliance y ayudar al comprador a redactar las cláusulas de declaraciones y garantías adecuadas para cubrir cualquier  riesgo potencial en materia de privacidad.

Ante la especificidad de estos riesgos es necesario considerar entre otras cuestiones: i) ¿si la empresa ha recibido reclamos vinculados con sus prácticas en materia de manejo de privacidad y de seguridad de sus operaciones?, ii) ¿si existen reclamos judiciales vinculados con las prácticas y modalidades de administración de los datos que utiliza?; iii)¿si le resultan aplicables recaudos específicos en materia de seguridad o manejo de datos basados en la actividad o industria que desarrolla la empresa target?[7]

La dimensión de cualquier riesgo asociado a los datos debe estar claramente reflejado a través de la negociación de las apropiadas representaciones y garantías en los documentos de formalización de la operación. Las declaraciones y representaciones no son comunes a todas las industrias y a todos los niveles de riesgo, sin embargo existen ciertos parámetros mínimos que deben incluirse, como ser:

i)               cumplimiento con leyes de privacidad y de seguridad de los datos así como con recaudos contractuales vigentes;

ii)             seguridad de los activos vinculados a tecnologías de la información;

iii)            facilidad de detectar vulnerabilidades de la red en materia de seguridad y los quiebres en materia de datos;

iv)            revelación de todos los reclamos vinculados con datos e investigaciones de compliance o cumplimiento;

v)             revelación de todos los acuerdos bajo los cuales los datos personales son compartidos con terceros, los compromisos de seguridad asumidos frente a terceros, así como la forma de remediación de cualquier incidente;

vi)            establecimiento de mecanismos de indemnidad frente a cualquier situación que se hubiese detectado en el proceso de due diligence y que pudiera generar una contingencia;

vii)          inclusión de condiciones para el cierre de la transacción sujeto a la implementación de mecanismos de seguridad de tecnología de información o de pautas de compliance que aún estén pendientes de implementación, o de la obtención de consentimientos de terceros respecto a la utilización de determinados datos, o de autorización por parte de la autoridad competente en materia de protección de datos personales.

            2.c) Transferencia internacional de datos

En aquellos casos en que la transacción propuesta involucre la transferencia internacional de datos personales el comprador deberá verificar el cumplimiento con las restricciones aplicables a las transferencias fuera de frontera, como aquellas requeridas por la Unión Europea. Por ejemplo en caso de que la empresa target tuviese una certificación bajo el acuerdo entre Estados Unidos y Europa se deberá verificar el cumplimiento de dichos parámetros.

Por otra parte,  varios países restringen la transferencia o la compartición de información personal más allá de sus fronteras. Un ejemplo concreto en que dichas restricciones pueden implicar significativos desafíos para las empresas multinacionales que desean trasladar los datos bajo su posesión a la nube.  Ante este desafío determinados proveedores de computación en la nube han empezado a ofrecer servicios de almacenamiento con localización geográfica específica, permitiendo que los datos sean mantenidos en un país determinado, y por ende sujetos a dicha jurisdicción. En tanto que algunos proveedores estadounidenses de estos servicios han obtenido certificaciones europeas bajo el programa de Safe Harbour entre Estados Unidos y la UE, a fin de poder acomodar a sus usuarios localizados en la UE, pero no alcanza como una solución global dado que solamente alcanza a las transferencias entre dicho país y la UE. Ante lo cual cada compañía debe verificar cuidadosamente si las opciones ofrecidas por cada proveedor son suficientes para alcanzar las obligaciones legales de dicha compañía en todos los países que opera.

            2.d) Contratos de tratamiento de datos personales con terceros proveedores

El principio que establece que la seguridad de una organización es tan fuerte como la capacidad que tiene el vendedor más débil de asegurar sus datos adquiere una trascendencia significativa cuando se analizan las relaciones de la empresa target con aquellos terceros proveedores o vendedores a los cuales les transfiere datos personales. 

Para aquellas empresas que necesitan compartir datos personales de terceros con proveedores para tercerizar sus actividades, es imprescindible que se implemente, antes de comprometerse en una relación comercial, un programa de administración de datos donde se evalúen claramente los riesgos y se identifiquen las potenciales preocupaciones en materia de seguridad y de privacidad de los datos, previendo los pasos apropiados de remediación.

Una vez efectuado el análisis y decidida la conveniencia de entablar la relación comercial, se deberá formalizar a través de contratos donde la compañía mitigue el riesgo de la seguridad de los datos.  Los mecanismos contractuales para mitigar esos riesgos pasan por la obligación que ese tercero prestador que vaya a recibir los datos asuma la obligación de contratar los seguros con la cobertura adecuada, y el compromiso de defender y mantener indemne a la compañía target de cualquier responsabilidad legal ocasionada por la revelación de información causada por la negligencia de ese tercero. A tales fines se deberán prever procedimientos de notificación ante un caso de quiebre de información, obligaciones de cooperación mutua, de compartimiento de información y la atribución de responsabilidades de reporte y control de incidentes.

                        2.d.i) Contratos de computación en la nube o “Cloud Computing”

Los contratos más relevantes que entran en esta categoría son los llamados de computación en la nube, también conocidos como “cloud computing”, y que consisten en servicios de software alojados en servidores del proveedor contratado y ubicados en ubicaciones remotas respecto al cliente.

Existen tres modalidades bajo las cuales se prestan los servicios de cloud computing: i) un software como servicio, en donde el proveedor ofrece todos los servicios en una sola plataforma con aplicaciones y funcionalidades actuando en una infraestructura en la nube. ii) una plataforma como servicio, en este caso el proveedor brinda una plataforma bajo una infraestructura en la nube donde el cliente puede instalar sus aplicaciones. iii) una infraestructura como servicio, en este caso el proveedor ofrece equipamiento para el almacenamiento sin brindar servidores o plataformas de software disponibles. Ante lo cual el cliente se presta sus propios servicios, operando su propio software y aplicaciones. 

Ante la diversidad de modalidades de prestación de servicios habitualmente los clientes suelen tener confusión y falta de certeza acerca de qué términos y estándares se deben aplicar a estos servicios tan vitales para la operación, puesto que en muchos casos van a estar a cargo del almacenamiento y/o procesamiento de datos de terceros ajenos al cliente. Al resultar los servicios en la nube una mezcla de software y servicios, cláusulas propias de ambos tipos de contratos estarán presentes bajo estos acuerdos.

Sin embargo la gran discusión en la negociación de este tipo de contratos surgen de la postura de los proveedores que sostienen que los contratos son contratos tipos y que no admiten cambios ni negociación alguna de sus cláusulas por tratarse de servicios estandarizados y  provistos a un precio bajo en virtud de esa supuesta estandarización. Por su parte el cliente tiene la postura contraria, al considerar que está contratando una prestación vital para su negocio, ante lo cual desea discutir el alcance de las cláusulas contractuales relevantes bajo los cuales el servicio va a estar previsto.

Las cláusulas cuyas negociación va a llevar más tiempo y esfuerzo son aquellas asociadas a:

a)    Niveles de servicios comprometidos por el prestador: Esta cláusula puede resultar sumamente gravitante para el proveedor pues puede interpretarse como una obligación de resultado bajo la cual se está garantizando un determinado nivel de servicio, y que en caso de incumplimiento puede disparar la aplicación de altas multas convenidas o el derecho a rescindir el contrato. No obstante la solución propuesta por el proveedor frente al incumplimiento de los estándares es brindar créditos para la prestación de esos servicios que no cumplieron con las pautas de servicio comprometidas.

b)    Variación de servicio:  Los clientes de este tipo de servicio desean controlar o limitar las características de los servicios que le son ofrecidos, en virtud de los exigentes y específicos requerimientos tecnológicos a los que pueden verse afectados si el vendedor conserva la facultad de cambiar las funcionalidades y características del servicio provisto. Y en caso que el cliente no pueda restringir dicha flexibilidad operacional del prestador, al menos intentará garantizarse que se lo advierta con suficiente antelación para buscar alternativas técnicas que puede incluir la migración a otro proveedor.

c)    Exigencias en materia de privacidad y seguridad: Esta es una de las cláusulas en las cuales deberá focalizarse la atención en un proceso de due diligence, dado que se deberá verificar que las políticas de seguridad y privacidad del proveedor que se basan en requerimientos estandarizados y aspectos operacionales de su servicio comulguen con las políticas y marcos legales a los cuales se encuentra sometida la compañía target, cliente del proveedor de servicios en la nube. Los proveedores cada vez más tienden a comprometerse a cumplir con estándares más elevados y generalizados por pertenecer a instituciones reconocidas a nivel internacional en la materia, como pueden ser certificaciones ISO, reportes de auditoría de SSAE, entre otros.

d)    Limitación de responsabilidad: Todos los contratos estandarizados de este tipo de servicios cuentan con una limitación de responsabilidad, donde se fija un techo en el monto de la responsabilidad asociado al precio del servicio a ser prestado (puede ser el monto equivalente a 12 abonos mensuales de servicio) pero sujeta a numerosas exclusiones. Sin embargo cuando los contratos son hechos a medida del cliente e implican una mayor integración entre el cliente y el proveedor la limitación de responsabilidad suele elevarse.

Otro aspecto crucial a considerar en la elección de un proveedor de servicios en la nube, es que su centro de alojamiento de datos (data center) esté físicamente ubicado en una región o país en donde la legislación aplicable al almacenamiento y manejo de datos sea favorable para la posición del cliente, pues de lo contrario puede sufrir riesgos judiciales con repercusiones tanto financieras como reputacionales.

Cuando se piensa delegar actividades en un proveedor de computación en la nube estando en juego datos personales de terceros, como clientes o socios comerciales, es vital el análisis de las limitaciones impuestas contractualmente por dichas terceras partes, que pueden abarcar la obtención de consentimientos para los casos de subcontrataciones o tercerizaciones en las actividades de tratamiento de datos así como la imposición de obligaciones específicas contractuales sobre el nuevo proveedor en la nube.

Para el directorio del cliente no es una cuestión trivial la delegación o tercerización de actividades a través de contratos de cloud computing, puesto que está delegando la gestión y guarda de activos basados en datos significativos de la empresa, y en caso de surgir cualquier problema de ciberseguridad no podrá deslindar su responsabilidad, aduciendo que delegó en un proveedor el cuidado de los mismos. Frente a la imposición de criterios de rendición de cuentas y de debida diligencia cada vez más rigurosos, es indispensable que esté dispuesto a adoptar medidas adicionales de diligencia como pueden ser, la gestión de administración de riesgos, decidiendo que datos personales se mantienen bajo control de la compañía y qué servicios se delegan en un tercero, encriptación de los datos que se transfieran, creación de copia de los datos en la nube (back up), prevención y generación de mecanismos de incidentes de seguridad y de rápido aviso, fijación de mecanismos de autenticación seguros y múltiples, entre otros.

El criterio antedicho ha sido abordado por el anteproyecto de ley de modificación a la Ley de Datos Personales, preparado por la Dirección Nacional de Protección de Datos Personales bajo el programa Justicia2020, que establece sujeta la autorización del tratamiento de datos por servicios de computación en la nube al cumplimiento de ciertas obligaciones.[8]

            2.e) Ciberseguridad

Dados los masivos incidentes de quiebres de seguridad informática que han dominado las noticias durante los últimos años (a manera de ejemplos, incidentes de Yahoo, Sony, Target, Ashley Madison, Comité del Partido Demócrata en EEUU) se evidencia que las amenazas en ciberseguridad implican un riesgo existencial para cualquier organización en todos los sectores de la economía, y no pudiendo minimizarse la problemática considerándola como una mera cuestión informática. Las consecuencias adversas pueden ser enormes, ya que a la pérdidas de datos, se le deben adicionar contigencias respecto a la aplicación de penalidades elevadas y la de afrontar procesos judiciales complejos como extensos, daños a la imagen, pérdida de negocios así como la lealtad de los clientes. 

El impacto financiero de un quiebre de datos, algunos lo estiman para los Estados Unidos, en un costo promedio de U$S 221 por cada archivo robado.[9] Asimismo existen ejemplos concretos de caída del valor de la acción de empresas afectadas por  quiebre de datos, un 20% del valor de la empresa inglesa Talk Talk en los meses posteriores a conocerse en los medios el ciberataque padecido por dicha compañía.

Como los ataques cibernéticos escalan tanto en cantidad como en tamaño los peligros para aquellas compañías buscando adquirir otras  también crecen, por lo cual el mundo corporativo no puede estar ajeno a la evaluación del riesgo de ciberseguridad en los procesos de auditoría en fusiones y adquisiciones.

Las cuestiones vinculadas a políticas de compliance de ciberseguridad y la falta de planes integrales corporativos de ciberseguridad no suelen ser analizados en los procesos de auditoría, desde el momento que los compradores focalizan su análisis en las consecuencias que se derivarían de los quiebres de seguridad ya ocurridos pero omitiendo considerar la aplicación de pautas de administración de riesgos asociadas a la ciberseguridad para el futuro.

Todos las unidades de negocios deben saber cuáles son los sistemas de  información tecnológica (IT) y conjunto de datos personales más valiosos para el negocio, así como la forma en que la compañía los protege y los explota. Para luego pasar a analizar cuáles son las amenazas más preocupantes para las redes y sistemas, atento las particularidades de las industria en juego, experiencias pasadas de incidentes y el presupuesto asignado en la empresa a la ciberseguridad.  Y por último evaluar los planes de recuperación o de mitigación internos frente a los casos de indisponibilidad de información crítica o de sistemas.

Habitualmente se asocian las amenazas de ciberseguridad con factores externos a la empresa omitiendo considerar la vulnerabilidad a riesgos internos, como por ejemplo, la falta de adopción de medidas de seguridad adecuadas respecto al uso de dispositivos celulares por parte de los empleados de la empresa, políticas sobre acceso a sistema IT por parte de personal interno de la compañía, entre otros.

Las medidas adoptadas internamente por la compañía para resguardarse de los riesgos cibernéticos son de crucial trascendencia, más en Argentina donde, a diferencia de lo que sucede con el régimen jurídico de protección de datos no existe un régimen adecuado vinculado con la prevención de incidentes de ciberseguridad o medidas relacionadas. Frente a dicha orfandad normativa deviene imprescindible que las empresas adopten un criterio de responsabilidad activa valorando el riesgo de los datos en juego y el tipo de tratamiento de datos involucrado desde el momento que puede surgir una potencial responsabilidad del directorio de la compañía.

2.e) i) Caso de la compra de Yahoo:

El ejemplo concreto y reciente respecto a la relevancia del quiebre en la ciberseguridad en un proceso de adquisición de una empresas es el impacto que tuvo en el precio de la oferta de Verizon para adquirir Yahoo.

Yahoo no informó sobre el quiebre de datos padecido en el 2014 hasta  recién en septiembre de 2016, cuando empezó a notificar a 500 millones de sus usuarios que sus correos electrónicos, fechas de cumpleaños, y preguntas de seguridad para acceso a su cuenta podrían haber sido robadas. En diciembre de 2016, Yahoo reveló que tampoco informó sobre otro ataque padecido en 2013 y que afectó mil millones de usuarios.

Las implicancias de estos quiebres no han sido menores. Yahoo ha procedido a bajar el precio de venta originariamente convenido en casi 400 millones de dólares, y acordar de afrontar en forma conjunta las posibles consecuencias que se pueden derivar de dichos quiebres.

Una vez descubierto un quiebre de datos, aún cuando el mismo ocurra años antes que una adquisición se lleve a cabo, la empresa compradora puede ser considerada responsable, y consecuentemente sufrir penalidades y cargos, así como la inevitable pérdida de reputación entre sus clientes.

Algunas de las enseñanzas que se desprenden de la transacción Verizon- Yahoo, son que:

i)        la supervivencia de una transacción de M&A, bajo las circunstancias fácticas ocurridas, no hubiese podido ser sino fuese por la destreza de los abogados involucrados y la fuerte lealtad de sus consumidores con las empresas involucradas. Por cierto dicha  situación no resultaría replicable en la mayoría de las operaciones similares que presenten el alcance de las dificultades  planteadas en este caso.

ii)             La necesidad imperiosa de contar en el equipo de auditoría involucrado en el M&A con consultores especialistas en ciberseguridad frente a la complejidad que presentan los sistemas de ciberseguridad que requieren de conocimiento experiencia y experiencia acerca de como navegar a través de los mismos en forma segura y efectiva, sin comprometer las estructuras existentes. Dichos consultores van a adoptar un rol protagónico, desde el momento que uno de los objetivos trascendentales  del comprador es probar y demostrar que la empresa target ha implementado un sistema maduro de administración de riesgos, verificando que las afirmaciones dadas por el vendedor, acerca de la inexistencia de quiebres históricos de datos, de medidas contra robos internos y/o de competidores y efectiva implementación de políticas internas de cumplimiento en materia de seguridad informática, resulten ser una realidad operativa y no una mera expresión de deseos.  

Sin perjuicio de todas las vicisitudes que se vienen originando en el ámbito internacional, la Ley Nro. 25.326 es clara respecto a la obligación de adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad de los datos y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

           

2.f) Revisión de políticas de cumplimiento corporativo (“compliance’) en materia de administración de datos y ciberseguridad.

Los requerimientos asociados a las políticas de compliance son cada vez más complejos, y su incumplimiento vislumbra la aplicación de sanciones penales. A manera de ejemplo, en Estados Unidos, recientes modificaciones a una ley vinculada con seguros de salud (Health Insurance Portability and Accountability Act, HIPAA) autoriza a la autoridad competente a imponer sanciones de hasta 1,5 millón de dólares anuales por cada tipo de infracción.

En tanto la Unión Europea también sigue la referida tendencia cuando el Reglamento General de Protección de Datos impone sanciones equivalentes al 4% de la facturación del grupo empresario. Similar es el criterio adoptado por algunos países asiáticos, como Corea del Sur, respecto a la fijación de sanciones basadas en la facturación del infractor. 

De lo expuesto resulta lo mandatorio en que se ha vuelto identificar las potenciales contingencias vinculadas a políticas de cumplimiento, a través de los adecuados procesos de auditoría, donde el comprador busca ser asesorado en la forma que debe modificar las prácticas del vendedor, su operación o negocio con posterioridad al cierre de la transacción para cumplir con las leyes de protección de datos personales que le resulten aplicables.

Las políticas de cumplimiento de las compañías en materia de privacidad resultan una importante fuente de información para los compradores, desde el momento que las referidas políticas suelen comprender políticas internas, como es el caso de las políticas de privacidad aplicables a los empleados, y políticas externas, que resultarían aquellas aplicables a los clientes y que habitualmente se encuentran publicadas en el sitio de Internet de la empresa target.

El objeto de la auditoría no sólo debe limitarse a verificar el cumplimiento de la Target con las referidas políticas sino también con las restricciones que surgen de la misma y que pueden llegar a afectar los planes del comprador en cuanto al uso futuro de los datos en posesión de la Target.

Las medidas de protección de datos que debería contener una política de privacidad de una empresa responsable del tratamiento de datos personales en la Argentina[10] son: a) cumplimiento de los principios y requisitos de licitud dispuestos por la ley 25.326, indicando las medidas dispuestas; b) indicaciones de las finalidades del tratamiento previsto; c) se haga saber si utiliza o no la disociación en su tratamiento y se indique la modalidad implementada; d) la información que brindará al titular del dato para el conocimiento del tratamiento, con especial detalle si el tratamiento pudiera eventualmente afectarlo en alguno de sus derechos; e)  los casos en que prevea requerir el consentimiento del titular del dato; f) el modo de recolección de los datos objeto de tratamiento (con consentimiento previo, o con motivo del cumplimiento de un contrato, en forma subrepticia u ostensible, etc.); g) forma en que se enriquecen los datos - incorporación del valor agregado- (ej. sobre datos anónimos o sobre datos identificados y luego disociados); h) análisis y técnicas a los que se prevé someter los datos  (ej. generación de perfiles, enriquecimiento con fuentes de terceros, Data Mining, Machine Learning, Social Network Analysis, Predictive Analytics, Sensemaking, Natural Language Processing and Visualization, etc.); i) condiciones para determinar la caducidad del dato, según la finalidad que justificó originalmente su recolección (finalidad principal). No hay ninguna causal de conservación sin plazo, pues siempre serán útiles, salvo que se anonimicen o se consienta específicamente esa característica); j) medidas por las que se garanticen que solo se utilizarán datos que sean estrictamente necesarios y no excesivos para la finalidad prevista; k) medidas dispuestas para el cumplimiento de los derechos del titular del dato, en caso de que no se utilicen datos disociados (acceso, rectificación, oposición y supresión); l) las medidas de "privacy by design" que se prevean incorporar, en razón del resultado que determine el estudio de impacto de privacidad; m) las medidas de seguridad y confidencialidad dispuestas, de acuerdo a las características del tratamiento (art. 9 y 10 de la ley 25.326 y disposición DNPDP Nº 11/2006).

Otro aspecto a analizar es si existen diferentes versiones de la misma política, pues de ser así, se deberán analizar las diferentes restricciones aplicables bajo cada política, e identificar que datos personales en particular han sido obtenidos bajo cada versión de las políticas en juego, y si hay una separación de los datos en virtud de los diferentes recaudos que le podrían resultar aplicables.

Un indicio respecto a la importancia que la empresa target le da a su política de ciberseguridad y de privacidad está dado por el grado de involucramiento del máximo responsable de la empresa y el directorio de la empresa. Dicho grado de involucramiento puede verse reflejado en minutas de reunión de directorio, demostrando que dichas políticas no resultan ser materia exclusiva de los encargados del área de informática de la compañía, sino que es producto de un trabajo interdisciplinario (auditoría interna, finanzas, legales, recursos humanos, y informática con administración de riesgos).

Los interrogatorios deben apuntar a obtener una cabal idea sobre los controles administrativos, técnicos (defensas malware, encriptación de datos, control de accesos, detección de intrusos) y físicos de la seguridad de la información tendientes a proteger los archivos de datos más críticos.

La compañía deberá contar con un plan completo, documentado y actualizado de administración de crisis de seguridad informática y de respuesta a incidentes. Dichos planes deberán prever, entre otras cuestiones,  el involucramiento de expertos forenses y legales, estrategia de relaciones públicas, asignación presupuestaria para seguridad de datos, la forma de organización dentro de la compañía del sector encargado de ciberseguridad y el riesgo (¿A quién reporta? ¿Grado de involucramiento del Directorio y gerencias en las capacitaciones sobre seguridad de datos y desarrollo de los protocolos de seguridad de datos? ¿Si existe asesoramiento legal externo o interno para asesorar en materia de políticas de compliance vinculados a seguridad de datos?) y la forma de brinda entrenamiento y educación a sus empleados y vendedores sobre las políticas corporativas, los riesgos de seguridad informática y las medidas necesarias a cumplimentar para lograr morigerar dichos riesgos.

Los referidos programas de seguridad informática deben estar sujetos a continuas evaluaciones que deberán ser debitamente registradas, y en virtud de la cuales deberán adoptarse los cambios que sean necesarios a fin de cubrir las falencias o aquellos puntos no planteados en las versiones anteriores.

2.g) Responsabilidad precontractual por el tratamiento de datos personales en el procedimiento de auditoría:

Los vendedores también tienen preocupaciones vinculadas con la privacidad en las transacciones de compra venta de compañías, principalmente cuando están obligados a revelar datos personales durante el proceso de due diligence anterior al cierre de la operación. A tales fines los vendedores deben ser precavidos en revisar tanto las políticas de privacidad de la empresa target así como las leyes de privacidad que le sean aplicables para determinar cuidadosamente que datos personales, incluyendo aquellos perteneciente a los empleados, pueden compartirse durante el proceso de due diligente y las restricciones en el uso de los datos que se pretenden mostrar.  Los datos sensibles (información que puede revelar el origen étnico o racial, opiniones políticas y filosóficas, religión, salud, agrupaciones sindicales, preferencias sexuales) deben ser suprimidos en todos los casos y no ser pasibles de divulgación.

Por ejemplo en la Unión Europea, siempre que sea factiblemente posible, la revelación de información en el proceso de due diligence no debe comprender la identificación individual de los empleados y ser reemplazado por información seudo anonimizada o de identificada. En caso de no ser posible cumplimentar con dichas pautas, el vendedor deberá limitar el caudal de información a compartir solamente a aquella que sea estrictamente necesaria, sin perjuicio de informar a los sujetos afectados sobre dicha divulgación y el propósito de la misma, aunque a veces dicho propósito se pueda ver afectada por un compromiso de confidencialidad con los potenciales compradores. 

El vendedor debe condicionar la revelación de información a que la misma esté sujeta a los apropiados acuerdos de confidencialidad, y que el traspaso de información sea realizado a través de métodos seguros que permitan el control de acceso, como por ejemplo a través de espacios virtuales encriptados de datos (data romos virtuales).  Estas medidas también resultan gravitantes bajo el régimen jurídico argentino frente a las responsabilidades precontractuales que pudieran surgir en nuestro país, más teniendo en cuenta que el Código Civil y Comercial le ha dado un expreso reconocimiento legal a la responsabilidad precontractual y prevé la reparación del daño como consecuencia de la ruptura del deber de confidencialidad durante la etapa de las negociaciones (Artículos 991 y 992 CCC).

2.h) Formalización de contratos auxiliares vinculados con el tratamiento de datos personales antes y después de la transacción

Este tipo de transacción puede requerir la celebración de  acuerdos complementarios o auxiliares que lidien con el manejo de datos personales, antes, durante y después del cierre de la operación, incluyendo:

i) Acuerdo transicional de servicios: Regula la migración, integración y servicios a ser prestados entre las partes aún después del cierre de la transacción, como por ejemplo el vendedor, aún después del cierre de la transacción, puede continuar realizando algunas operaciones de tratamiento de datos en nombre del comprador.  Desde una perspectiva del derecho de datos personales estos acuerdos pueden considerarse como convenio de tratamiento donde el comprador actúa como responsable de los datos, y el vendedor, como encargado. Aunque a veces se puede dar al revés en el caso que el comprador deba actuar en nombre del vendedor en el procesamiento de datos, como puede ser si el comprador debe encarar reclamos de los consumidores vinculados con la venta de productos que siguen siendo responsabilidad del vendedor.  En ese caso los roles de responsable y encargado se invierten y el acuerdo deberá reflejar las obligaciones para cada una de las partes en esa situación puntual.

ii) Acuerdo de compartimiento de datos: Conviene la forma en que las partes se transfieran los datos antes del cierre de la transacción así como las licencias y acuerdos de procesamiento de datos para la operación del negocio después de ocurrido el cierre

5. Conclusión:

Ante la mayor sofisticación y habitualidad de los ataques perpetrados por hackers sobre activos corporativos el riesgo cibernético ya no puede ser considerado como un evento imprevisto, y por ende debe ser pasible de sujeción a adecuadas medidas de diligencia tecnológica para prevenirlo, o al menos mitigarlo.

En las operaciones de fusiones y adquisiciones esto se traduce en el interés de todo comprador de calcular e identificar con la mayor precisión aquellas debilidades en ciberseguridad respecto al negocio que pretende adquirir. Cuanto antes en estos procesos de auditoría se piense en ciberseguridad más grandes serán las chances de mitigar y limitar los riesgos que pudieran surgir así como de cerrar la transacción con éxito. Aunque siempre condicionado a que la auditoría sea llevada cabo por consultores técnicos especializados en protección de datos personales, regulaciones de compliance y ciberseguridad.

La creciente demanda de este tipo de servicios va a acrecentar la necesidad de abogados con conocimientos en estas áreas del derecho, pero que deberán complementar su especialización jurídica con la suficiente experiencia tecnológica, la cual es preferible que sea adquirida a través del trabajo interdisciplinario con especialistas informáticos en seguridad y manejo de datos. Atento el  dinamismo extremo que presenta el campo de ciberseguridad existe el riesgo que los conocimientos incorporados queden peligrosamente desactualizados si el profesional no persiste en una continua actualización.

Esa necesidad de contar con profesionales actualizados en las complejidades de la ciberseguridad corre en desventaja respecto a la continua innovación de la que es parte la seguridad frente a los actuales aportes que recibe de la robótica, la analítica como de la inteligencia artificial

La importancia de verificar con exactitud el estado de situación así como los riesgos que acechan a los datos personales en posesión de una empresa a ser adquirida va a resultar cada vez más gravitante frente a la ventaja comparativa en el mercado que ostentarán aquellos operadores que sean aptos para resguardar eficientemente la privacidad de sus clientes. Este valor diferencial será consecuencia de una economía, cada vez más basada exponencialmente en la prestación de servicios y en el uso compartido de bienes, y donde la privacidad seguirá persistiendo como uno de los pocos bienes inherentes a cada individuo en forma exclusiva, y por ende priorizándose a aquellos operadores de mercado que puedan demostrar su capacidad de proteger los datos personales de sus clientes.

El presente trabajo tuvo por objeto comenzar a avizorar uno más de los tantos novedosos desafíos que la tecnología viene a presentar a los operadores del derecho.

---

[1] Estas técnicas avanzadas de análisis son procesos de tratamiento automatizado de datos a través de la utilización de herramientas sofisticadas que permiten descubrir parámetros y efectuar recomendaciones, proveyendo inteligencia para la toma de decisiones.

[2]En el libro Transferencia de paquetes accionarios de control de Ferraro Mila, Pablo. Lexis Nexis (2006) se mencionan como riesgos específicos que amenazan la inversión del adquirente a los riesgos contables y fiscales, riesgos legales, riesgos ambientales y riesgos laborales y previsionales pero no se mencionan a los riesgos vinculados a los datos.(pág. 235- 237).

[3] La situación descripta es reflejo de una tendencia mundial surgida de la experiencia de transacciones llevadas a cabo en el mundo entero. Uno de los casos paradigmáticos se presentó en la adquisición llevada a cabo por Facebook de WhatsApp a comienzos del 2014, cuando la Federal Trade Commission (“FTC”) cursó una advertencia en cuanto a que el incumplimiento de la promesa de Whatsapp a sus clientes respecto al destino de sus datos constituía una práctica engañosa bajo la ley americana. Idéntica situación se presentó en la reciente adquisición de Borders por Barnes & Nobles ante la promesa de Borders de no compartir la lista de sus clientes sin el consentimiento de sus clientes.

[4]Tribunal Constitucional Español en Sentencia 292/2000, de 30 de noviembre de 2000.

[5] C(2003) 1731 del 30 de junio 2003 - OJ L 168, 5.7.2003. Disponible en <http://ec.europa.eu/justice_home/fsj/privacy/docs/adequacy/decision-c2003-1731/decision-argentine_en.pdf> 

[6] Disposición 18/2015 de DNPDP donde se aprueba la Guía de Buenas Prácticas en Privacidad para el Desarrollo de Aplicaciones..

[7] Por ejemplo en Argentina aquellas empresas que desarrollen aplicaciones deben seguir las Guías de Buenas Prácticas establecidas por la Dirección Nacional de Protección de Datos Personales a través de la Disposición 18/2015.

[8] Que el proveedor de servicios garantice el cumplimiento de la  ley de protección de datos personales con responsabilidad solidaria del responsable del tratamiento de los datos ante el titular de los datos y ante la autoridad de control por incumplimientos del proveedor;

Que el proveedor de servicio cuente con una política de protección de datos personales o condiciones de servicio en los que se detallen las medidas dispuestas para garantizar la protección de los datos personales, y que su aplicación sea efectiva. Debe además verificar que se prevean mecanismos para notificar los cambios que se produzcan sobre la política de protección de datos personales o condiciones de servicio;

Que informe las subcontrataciones que involucren los datos personales objeto del tratamiento sobre el que se presta el servicio, notificando al responsable del tratamiento de cualquier cambio que se produzca;

Que no incluya condiciones en la prestación del servicio que lo autoricen o permitan asumir la titularidad sobre las bases de datos tratados bajo esta modalidad.

Que el responsable del tratamiento pueda limitar el tipo de tratamiento de datos sobre los que presta el servicio;

Que el prestador del servicio establezca y mantenga medidas de seguridad adecuadas para la protección de los datos personales sobre los que presta el servicio;

Que se garantice la sup resión de los datos personales una vez que haya concluido el servicio prestado al responsable del tratamiento y que este último los haya podido recuperar;

Que se impida el acceso a los datos personales a quienes no cuenten con privilegios de acceso, o bien en caso de que sea a solicitud de autoridad competente, informar de ese hecho al responsable del tratamiento.

[9] Informe de Ponemon de 2016 realizado con IBM. Cost of Data Breach. Global Analysis. 

Study.   http://www.zinopy.ie/wp-content/uploads/2016/06/Ponemon-Report-2016-Cost-of-a-Data-Breach.pdf

[10] Big Data: riesgos y desafíos en el tratamiento masivo de datos personales González Allonca, Juan Cruz Ruiz Martínez, Esteban  LA LEY 08/04/2016, 08/04/2016, 1 AR/DOC/373/2016.