Con el crecimiento de la industria de alta tecnología en todo el mundo, no sorprende que cada vez más transacciones impliquen la transferencia de derechos de acceso o control de datos y datos derivados. En nuestra actualización anterior, discutimos la protección de datos comerciales en un contexto comercial. En el contexto de fusiones y adquisiciones, esta valiosa información es la fuerza impulsora del acuerdo o un área significativa de riesgo que requiere una consideración especial, desde la debida diligencia hasta la redacción de las disposiciones sustantivas de un acuerdo de compra.
Problemas de diligencia debida
A medida que los datos se han convertido en un componente más importante de las transacciones y los negocios, los reguladores han impuesto requisitos para abordar las preocupaciones de privacidad y proteger la propiedad de los datos personales. El incumplimiento de estas restricciones puede resultar en importantes costos inesperados en una transacción. Al principio, es importante tener una idea de lo siguiente en relación con los datos y los datos derivados en un posible acuerdo:
- Obtenga una idea de la cantidad de datos bajo consideración.
- Identifique quién es el propietario de los datos, quién tiene derechos de acceso o uso de los datos y quién podría retener el acceso o el uso de los datos después de la transacción. Los datos pueden haber sido generados por un empleado o contratista de un proveedor, o proporcionados por un tercero que podría conservar los derechos. Por supuesto, es fundamental asegurarse de que el proveedor tenga realmente el derecho de vender o otorgar derechos sobre los datos en cuestión.
- Si otros tienen acceso o derechos de propiedad, determine si se requiere exclusividad para la transacción o si la falta de ella podría afectar la valoración.
- Revise cualquier contrato con terceros relevantes para identificar si existen disposiciones de cambio de control específicas de datos u otros consentimientos de terceros que puedan ser necesarios antes del cierre.
- Si el proveedor no es el propietario total de los datos, determine si los datos de destino pueden haberse mezclado con otros datos o si se han modificado de la versión original.
- Determinar si los datos conllevan algún riesgo de infringir los derechos de propiedad intelectual de terceros o si se obtuvieron de forma ilegal, o si se han presentado reclamaciones de este tipo en el pasado.
- Determine si los datos se derivaron de un conjunto de datos original e independiente. De ser así, es importante establecer si los datos se generaron de acuerdo con los requisitos contractuales o legales.
- Determine si los derechos sobre el conjunto de datos original se obtuvieron correctamente y si se permitió la creación de datos derivados.
- Considere si el trato requiere derechos o propiedad sobre el conjunto de datos original, o solo sobre los datos derivados.
- Confirme si hubo requisitos para desidentificar o agregar el conjunto de datos original o para limitar el uso a ciertos fines y, de ser así, si se cumplieron esos requisitos.
- Tenga en cuenta que la creación de datos derivados también puede haber creado nuevos derechos de propiedad intelectual. Para repasar la aplicación de la ley de propiedad intelectual a los datos, consulte nuestra primera actualización de esta serie.
- Determinar si alguno de los datos es confidencial o de identificación personal; este tipo de información puede estar estrictamente regulada por la legislación.
- Confirme si el proveedor cumplió con los requisitos reglamentarios aplicables. En algunos casos, los datos deben anonimizarse o agregarse adecuadamente para su uso anónimo a escala.
- Revise los protocolos de seguridad del proveedor para verificar el cumplimiento de los estándares de la industria, así como los registros del proveedor para cualquier violación de datos relacionada con el conjunto de datos en cuestión.
- Tome nota de la ubicación de almacenamiento de datos físicos del proveedor y de la propiedad de cualquier instalación de terceros, así como de cualquier contrato relacionado. Las agencias gubernamentales pueden acceder a los datos almacenados en ciertos países según la legislación antiterrorista. Ciertos datos también deben conservarse dentro de Canadá, a menos que se tomen medidas adicionales.
- Asegúrese de que podrá acceder y utilizar los datos después del cierre. Determine si el conjunto de datos está en un formato de código abierto o propietario, y si se requiere software o licencias adicionales para acceder a los datos o utilizarlos. Considere solicitar al proveedor que exporte los datos en un formato más accesible.
- Considere si puede necesitar asesoramiento de expertos en el caso de datos generados por IA. La propiedad y el uso pueden ser particularmente complejos en estos casos. Para obtener más información, lo invitamos a revisar nuestros artículos anteriores sobre este tema aquí y aquí.
Representaciones y garantías
Los resultados del proceso de diligencia debida informarán las representaciones y garantías clave del acuerdo. Muchas de las representaciones y garantías específicas de datos son paralelas a los aspectos de la diligencia debida. Como tal, considere incluir garantías sobre lo siguiente:
- derechos de propiedad, uso y potencialmente exclusividad y/o licencia;
- la generación adecuada de datos derivados, incluyendo:
- si alguna agregación o desidentificación se ha realizado correctamente;
- si los datos se han utilizado de acuerdo con alguna restricción;
- el cumplimiento del proveedor con cualquier protocolo de seguridad de datos en particular;
- el formato y la accesibilidad de los datos que se venden;
- cualquier póliza de seguro relevante que pueda seguir aplicándose;
- no vulneración de los derechos de propiedad intelectual de terceros y falta de antecedentes de los mismos;
- falta de incumplimiento de las obligaciones de confidencialidad; y
- cumplimiento de las restricciones reglamentarias sobre datos personales y mantenimiento de la confidencialidad.
El abogado del proveedor debe tratar de incluir un descargo de responsabilidad en cuanto a que los datos se proporcionen «tal cual» y/o «con todas las fallas», y tratar de que el comprador renuncie a cualquier garantía implícita de comerciabilidad, idoneidad, precisión o integridad.
indemnizaciones
Las disposiciones específicas de datos pueden y deben extenderse a la sección de indemnizaciones, donde pueden proteger a las partes de algunos de los riesgos más peligrosos y costosos presentes en las transacciones centradas en datos o IP. Dado el peso de esta sección, tanto los vendedores como los compradores tienen importantes intereses creados y deben llegar a un acuerdo sobre los siguientes puntos sugeridos:
- Actuaciones de terceros alegando que los datos infringen derechos de propiedad intelectual.
- Reclamaciones de terceros por violación de la privacidad o seguridad de la información.
- Quejas de clientes por datos perdidos o dañados, particularmente como resultado de una transferencia entre empresas.
- Si se otorga una licencia exclusiva, indemnización u otra garantía adicional para permitir la búsqueda o impedir que otras partes utilicen los datos si es necesario o relevante.
Datos en transacciones de fusiones y adquisiciones en el futuro
A medida que más y más corporaciones se involucran con big data e Internet de las cosas, la relevancia de los datos y sus conjuntos derivados continúa extendiéndose más allá del sector tecnológico y en todo, desde bienes de consumo hasta servicios personales. Con cada nueva transacción, encontramos formas más novedosas de recopilar y vender datos. En consecuencia, esperamos que este tipo de consideraciones sean relevantes no solo en las transacciones de datos específicos, sino también en la mayoría de los acuerdos comerciales en el futuro.
La experiencia en la redacción de acuerdos y la negociación de estos términos puede ayudarlo a administrar mejor estas nuevas transacciones combinadas.
Los autores desean agradecer a Sol Kauffman, estudiante articulador, por su ayuda en la preparación de esta publicación.