En el panorama empresarial contemporáneo de Turquía, el papel de las políticas que regulan la protección de datos en operaciones de M&A ha adquirido una importancia sin precedentes, especialmente en el ámbito de las fusiones y adquisiciones (M&A). Esta mayor relevancia se ve impulsada por la tendencia creciente de empresas extranjeras que ingresan en el mercado turco mediante adquisiciones.
Estas operaciones, que a menudo implican transferencias e integraciones complejas de datos, sitúan la protección de datos en el centro de las consideraciones estratégicas. La gestión eficaz de las cuestiones de protección de datos se vuelve crucial no solo como requisito de cumplimiento normativo, sino como un factor decisivo que influye en el éxito general y la legalidad de las operaciones de M&A.
El aumento de la actividad de M&A en Turquía, con su particular entorno jurídico y cultural, presenta diversos desafíos y oportunidades. La transferencia e integración de datos sensibles, a menudo a través de fronteras, exige una comprensión matizada tanto de la normativa local como de las leyes internacionales de protección de datos.
Como también ha puesto de relieve un reciente caso del Tribunal Constitucional, esto es especialmente crítico si se consideran los riesgos y responsabilidades potenciales que podrían derivarse del incumplimiento o de violaciones de datos. En este contexto, las operaciones de M&A no son solo decisiones financieras o estratégicas, sino que también implican una cuidadosa consideración de la privacidad y seguridad de los datos, convirtiéndolas en determinantes clave en la valoración y el éxito de dichas operaciones.
I. Legislación y normas de protección de datos en Turquía
En Turquía, la piedra angular de la legislación de protección de datos es la Ley de Protección de Datos Personales n.º 6698 (la LPDP), que estableció un marco integral para el tratamiento de datos personales. La LPDP fue un paso significativo hacia la alineación del derecho turco con los estándares internacionales de protección de datos, en particular con el Reglamento General de Protección de Datos de la Unión Europea (GDPR). Entre las disposiciones clave de la LPDP figuran el requisito de consentimiento explícito para el tratamiento de datos, los derechos de los titulares de datos y las obligaciones de los responsables y encargados del tratamiento.
Bajo la LPDP, tanto las transferencias nacionales como las transferencias transfronterizas de datos requieren, por regla general, el consentimiento explícito previo del titular de los datos. No obstante, la LPDP prevé excepciones a este requisito, aplicables a datos personales y a datos personales de naturaleza especial, conforme a los artículos 5/2 y 6/3, respectivamente. Para los datos personales, el artículo 5/2 permite el tratamiento y la transferencia a terceros sin consentimiento explícito en los siguientes supuestos:
- Cuando lo disponga o exija la ley,
- Cuando sea necesario para proteger la vida o la integridad física de una persona incapaz de prestar consentimiento,
- Cuando sea esencial para ejecutar servicios previstos en un contrato,
- Cuando sea necesario para que el responsable del tratamiento cumpla sus obligaciones legales,
- Cuando los datos hayan sido hechos públicos por su titular,
- Cuando se considere obligatorio para el establecimiento, ejercicio o protección de derechos, o
- Cuando sea necesario para los intereses legítimos del responsable, siempre que no vulnere los derechos y libertades fundamentales del titular de los datos.
Comprender estas normas es crucial para las entidades involucradas en operaciones de M&A, ya que el cumplimiento en materia de protección de datos se convierte en un componente crítico del proceso de debida diligencia. El incumplimiento de la LPDP puede generar repercusiones legales y financieras significativas, lo que enfatiza la importancia de comprender e implementar exhaustivamente estos principios en todas las actividades empresariales que involucren datos personales.
Para información más detallada sobre la LPDP y los principios del tratamiento lícito de datos, puede consultar los artículos de ASY Legal sobre Protección de Datos Personales en Turquía y 8 principios para el tratamiento lícito de datos personales.
2. Importancia de la protección de datos en operaciones de M&A
Uno de los desafíos críticos en las operaciones de M&A es asegurar los datos en las salas de datos, que son esenciales para los procesos de debida diligencia. Estos espacios virtuales, donde se almacena y comparte información corporativa sensible, suelen ser accesibles para terceros, como potenciales compradores y asesores legales. Esta accesibilidad plantea un riesgo sustancial de violaciones de datos, por lo que la seguridad de estas salas de datos resulta primordial.
Además de los riesgos durante la fase de debida diligencia, la propia naturaleza de las operaciones de M&A, que implican la transferencia de propiedad y control de empresas, conlleva inherentemente la transferencia de datos. Esta transferencia plantea preocupaciones significativas sobre privacidad, ya que los datos recopilados y controlados por una entidad (la sociedad objetivo) pasan a otra (la sociedad adquirente). Garantizar que esta transición cumpla con la legislación de protección de datos, especialmente cuando se trata de datos personales, es un aspecto complejo y vital de la operación.
Asimismo, durante la fase de integración posterior a la M&A, resulta crucial alinear las políticas de protección de datos de las entidades que se integran. La sociedad adquirente no solo debe comprender las prácticas de protección de datos de la sociedad objetivo, sino también integrarlas de forma fluida dentro de su marco existente. Esta integración implica reconciliar diferencias en protocolos de manejo, almacenamiento y tratamiento de datos, garantizando el cumplimiento continuado de la LPDP y de otras normas relevantes de protección de datos.
Las fusiones transfronterizas añaden otra capa de complejidad. La LPDP en Turquía aborda las transferencias transfronterizas de datos exigiendo consentimiento explícito salvo en determinadas condiciones. Sin embargo, surge un desafío significativo por la ausencia de una lista definitiva de países considerados por el Consejo de Protección de Datos (DPB) como poseedores de medidas suficientes de protección de datos.
Esta ausencia significa que no resultan aplicables las exenciones normalmente permitidas bajo el artículo 9/2 de la LPDP, incluso respecto de países sujetos al Reglamento General de Protección de Datos (GDPR), lo que complica las transferencias transfronterizas de datos. Para más información, consulte nuestros artículos anteriores sobre este tema aquí.
3. Un reciente caso del Tribunal Constitucional destaca la importancia de la debida diligencia
En el ámbito de las fusiones y adquisiciones, la importancia de una debida diligencia exhaustiva no puede exagerarse, especialmente cuando la sociedad objetivo pertenece a un grupo de alto riesgo en materia de datos. Estas empresas, como hoteles, agencias de turismo y hospitales, tratan enormes cantidades de datos personales y son susceptibles de violaciones de datos e infracciones legales. Las implicaciones de tales violaciones se vuelven particularmente críticas en operaciones de M&A, ya que pueden no haber sido detectadas previamente por el Consejo de Protección de Datos. Esta omisión puede generar desafíos sustanciales después de la adquisición, cuando el nuevo propietario podría enfrentarse a multas administrativas por actos del predecesor.
Un caso pertinente que ilustra estos riesgos involucra la experiencia de una cadena hotelera global en Turquía. El caso, resuelto por el Tribunal Constitucional turco, destaca las complejidades y consecuencias legales en este tipo de escenarios.
a. Resumen del caso y antecedentes
La decisión del Tribunal Constitucional, de fecha 12.10.2023 (n.º 2020/7518), publicada en la Gaceta Oficial el 15.12.2023, giró en torno a una multa administrativa impuesta por la Autoridad de Protección de Datos (la DPA) a una cadena hotelera global. La DPA sancionó a la cadena por no garantizar la seguridad de los datos, infringiendo en consecuencia los derechos de propiedad de la empresa.
El problema se originó el 08.09.2018, cuando se detectó una violación de datos en la base de datos de reservas de huéspedes de una empresa adquirida en 2016. Esta violación, que afectó los datos personales de 500 millones de clientes, había permanecido sin detectar desde que el acceso no autorizado comenzó en julio de 2014. El nuevo propietario de la cadena hotelera notificó la violación a la DPA en 2019, dado que afectaba a ciudadanos turcos.
b. Decisión de la DPA y la multa
Tras una evaluación cuidadosa, la DPA decidió imponer a la cadena hotelera una multa total de 1.450.000 TRY. Esta suma comprendía 1.100.000 TRY por no garantizar la seguridad de los datos conforme al artículo 12/1 de la Ley de Protección de Datos Personales (PDPL) y 350.000 TRY por la notificación tardía de la violación (artículo 12/5 de la PDPL). La DPA pasó por alto el argumento de la cadena hotelera de que la violación era anterior a la adquisición, y por tanto no consideró a la sociedad adquirida como responsable del tratamiento.
c. Impugnaciones legales y decisiones judiciales
La cadena hotelera impugnó esta multa, alegando varios motivos, incluida la aplicación incorrecta de la PDPL, la notificación insuficiente de la decisión de la DPA y la imposición de la multa en el umbral máximo. Sin embargo, su argumento central fue que las violaciones se produjeron antes de la adquisición y durante la titularidad del anterior propietario.
En consecuencia, sostuvo que tales sanciones debían imponerse a la parte responsable en el momento de la violación, conforme al principio de individualidad de las penas. La cadena hotelera alegó además que no se había retrasado en notificar la violación a la DPA, ya que la LPDP no establece plazos o límites temporales definidos para dichas notificaciones y declaraciones.
El 1.er Juzgado Penal de Paz de Anatolia de Estambul y, posteriormente, el 2.º Juzgado Penal de Paz de Anatolia de Estambul revisaron el recurso y rechazaron estas objeciones, confirmando la decisión de la DPA. Sin embargo, los tribunales no proporcionaron una motivación adecuada para sus decisiones y ni siquiera ofrecieron justificaciones sobre por qué se rechazó el recurso.
d. Fallo del Tribunal Constitucional
El caso fue posteriormente llevado ante el Tribunal Constitucional por la cadena hotelera. El Tribunal Constitucional, tras su revisión, subrayó el derecho de propiedad, la necesidad de intervenciones proporcionadas en tales derechos y la exigencia de sentencias detalladas con motivación sobre por qué los tribunales pertinentes adoptan una decisión específica. Por ello, el Tribunal Constitucional consideró que la falta de una evaluación adecuada de las alegaciones de la cadena contra la decisión de la DPA constituía una vulneración de este derecho. El Tribunal ordenó un nuevo juicio, enfatizando la necesidad de un control judicial efectivo de las decisiones de la DPA.
e. Implicaciones futuras para la protección de datos en operaciones de M&A
Este caso destaca el papel crucial del control judicial efectivo en las decisiones de multas administrativas relacionadas con la protección de datos. La decisión respalda críticas de larga data sobre la insuficiencia de los juzgados penales de paz para conocer de estas materias, abogando por la intervención de los tribunales administrativos en su lugar.
No obstante, es importante señalar aquí que la decisión del Tribunal Constitucional no significa que la multa administrativa impuesta por la DPA fuera ilegítima, ya que el Tribunal en realidad consideró que la multa se encontraba dentro de los parámetros de la ley. En cambio, el Tribunal estimó la solicitud con base en la insuficiente motivación y fundamentación de las decisiones emitidas por los tribunales de primera instancia.
Las implicaciones de este fallo para las operaciones de M&A son profundas y de gran alcance. Dado que el Tribunal Constitucional en realidad consideró que las multas impuestas por la DPA se encontraban dentro de los límites de la ley, la decisión acentúa la importancia crítica de una debida diligencia meticulosa al evaluar las prácticas de protección de datos de las sociedades objetivo. Esto es especialmente decisivo para empresas en grupos de alto riesgo en materia de datos, donde las posibles violaciones pueden tener consecuencias legales y financieras significativas.
Las multas sustanciales impuestas en este caso sirven como recordatorio contundente de las repercusiones que pueden derivarse. Por tanto, los adquirentes se ven obligados a evaluar rigurosamente las medidas de seguridad de datos de los potenciales objetivos de adquisición. Esto no solo ayuda a mitigar riesgos, sino que también garantiza el cumplimiento estricto de las leyes de protección de datos, protegiendo al adquirente de posibles responsabilidades y multas.
4. Multas administrativas por violaciones de protección de datos
El reciente caso del Tribunal Constitucional muestra el papel significativo que desempeñan las multas administrativas en las infracciones de protección de datos, que pueden alcanzar hasta 10.000.000 TRY, dependiendo de la naturaleza de la infracción. La Autoridad de Protección de Datos tiene facultad discrecional para determinar el importe exacto de estas multas, tomando en cuenta factores como las particularidades de cada caso, la naturaleza de la infracción y la situación económica del infractor, lo que hace extremadamente difícil impugnarlas y obtener su anulación.
Para las operaciones de M&A, es fundamental tener presente que el incumplimiento de la normativa de protección de datos puede dar lugar a multas elevadas. En determinados casos, estas multas pueden superar los 3 millones de TRY por violación o supuesto de incumplimiento. Esto subraya la importancia de asegurar que la sociedad objetivo cumpla estrictamente las leyes de protección de datos para evitar tales sanciones.
Las multas administrativas están sujetas a impugnaciones legales, y recientes resoluciones judiciales sugieren que algunas multas impuestas por la DPA podrían no considerar adecuadamente la naturaleza de las infracciones o las condiciones económicas de los responsables/encargados del tratamiento. En consecuencia, existe un énfasis creciente en la necesidad de una imposición justa y proporcionada de las multas, garantizando que reflejen las particularidades de cada caso. Como se destacó en la revisión del caso anterior, impugnar estas multas puede ser un proceso prolongado. Incluso si una multa se impugna ante los tribunales, la entidad sancionada debe pagar inicialmente y esperar la resolución judicial para cualquier posible reembolso, lo que plantea desafíos significativos.
5. Garantizar el cumplimiento durante y después de operaciones de M&A
Debido a los riesgos involucrados, garantizar el cumplimiento de las leyes de protección de datos durante y después de fusiones y adquisiciones (M&A) es crucial para evitar posibles multas administrativas y problemas legales. Ello implica varias estrategias clave:
- Debida diligencia rigurosa: Realizar verificaciones exhaustivas sobre las políticas y prácticas de protección de datos de la sociedad objetivo. Esto incluye revisar su historial de cumplimiento, procedimientos de manejo de datos y cualquier violación de datos o problema legal pasado relacionado con la protección de datos.
- Auditorías de datos integrales: Evaluar los datos que se transfieren durante el proceso de M&A para identificar cualquier dato sensible o regulado, asegurando que se maneje conforme a los requisitos legales.
- Educación y formación de empleados: Educar y formar a todas las personas que tendrán acceso a datos sensibles sobre el manejo adecuado de datos y los procedimientos de cumplimiento. Este paso es vital para prevenir violaciones accidentales o incumplimientos.
- Implementación de políticas robustas de protección de datos: Desarrollar e implementar políticas sólidas de protección de datos alineadas con los estándares legales vigentes. Estas políticas deben comunicarse claramente y aplicarse en toda la entidad fusionada.
- Revisiones periódicas de cumplimiento: Después de la fusión, revisar y actualizar periódicamente las prácticas de protección de datos para garantizar el cumplimiento continuo. Esto incluye monitorear cambios en las leyes de protección de datos y ajustar las políticas en consecuencia.
- Colaboración con expertos en protección de datos: Contar con expertos legales o delegados de protección de datos para proporcionar orientación y apoyo continuos en el mantenimiento del cumplimiento.
Estos pasos ayudan a minimizar los riesgos asociados con el incumplimiento en materia de protección de datos y garantizan una transición fluida durante y después del proceso de M&A.
Esta traducción se ofrece únicamente con fines informativos y puede presentar diferencias respecto del texto original.
