El Comité Europeo de Protección de Datos ha publicado un informe sobre las implicaciones de privacidad de las fusiones.
El CEPD ha mostrado su preocupación sobre las implicaciones de privacidad de las fusiones tras conocer la intención de Google LLC de adquirir Fitbit Inc. El Comité ha explicado que este hecho situaría a una de las grandes empresas tecnológicas en la posición de adquirir incluso más datos personales sobre la población en Europa, y esto podría suponer un alto riesgo para los derechos y la protección de datos personales. El CEPD ya había indicado que en estos casos es obligatorio evaluar las implicaciones a largo plazo en los derechos y privacidad de los consumidores. El CEPD recuerda a las partes de dicha fusión evaluar y mitigar cualquier posible riesgo en este sentido antes de notificar la fusión a la Comisión Europea.
«El CEPD recuerda así a las partes de la potencial fusión, de acuerdo al principio de accountability, sus obligaciones bajo el RGPD, entre las que se encuentra llevar a cabo una evaluación completa y transparente de los requisitos de protección de datos y las implicaciones de privacidad”. El Comité considerará por sí mismo las implicaciones que la fusión puede tener para la protección de los datos personales en el Área Económica Europea y, aunque permanecerá alerta en casos similares en el futuro, se muestra dispuesto a contribuir con su asesoramiento a la Comisión si ésta así lo solicita.
En un comunicado de 2018, a raíz de la adquisición de Shazam por Apple, el CEPD avisó que el incremento de la concentración en los mercado digitales podría potencialmente amenazar el nivel de protección de datos y libertad del que disfrutan los consumidores, y aconsejó que autoridades de control independientes ayudasen a evaluar el impacto en el consumidor o en la sociedad. También añadieron que “Esta evaluación, al igual que la identificación de las condiciones o remedios para mitigar impactos negativos en la privacidad o libertad de otros, puede ser independiente o estar integrado en el análisis llevado a cabo por las autoridades competentes bajo la Ley de Competencia”.
En lo que se refiere a la cesión de datos en este contexto, las fusiones son una forma propicia de proceder, porque la entidad responsable de los datos no cambia. Cualquier otra vía tendría que ser extremadamente transparente y ofrecer a los consumidores la opción de oponerse al tratamiento. Sin embargo, si el responsable pasa a ser parte de un grupo corporativo, los datos podrían ser cedidos entre las empresas del grupo con base en el interés legítimo, tras llevar a cabo la correspondiente Evaluación de Interés Legítimo (LIA). Esto deberá hacerse caso por caso en cualquier circunstancia, pues no es seguro que dicha evaluación vaya siempre a superar el test de proporcionalidad.
Conforme a Cristina Contero Almagro, Socia de Aphaia, “le evaluación de los requisitos de protección de datos y las implicaciones de privacidad de la fusión deberán incluir, como uno de sus principales elementos, una evaluación completa de las medidas de seguridad implementadas en la otra empresa, no sólo en el momento actual sino también durante los últimos años. La brecha de seguridad que experimentó Marriott el año pasado es un buen ejemplo que muestra la importancia de comprobar de manera correcta las medidas de seguridad antes de llevar a cabo una fusión o adquisición”.
¿Tienes dudas sobre cómo una fusión o adquisición podría impactar la protección de datos en tu empresa? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.
