Ciberseguridad: algunas consideraciones en operaciones de M&A

• Francisco Iso Rivera ^[1] ; Ana Ibarra de la Fuente ^[1]
  1. [1] PwC Tax & Legal Services
• Localización: 2019 Práctica Mercantil para abogados: los casos más relevantes en 2018 de los grandes despachos / coord. por Rafael Sebastián Quetglas, 2019, ISBN 978-84-9020-817-5, págs. 557-576
• Idioma: español
• Texto completo no disponible (Saber más ...)
• Resumen
  • español

    El objeto de este artículo es describir en el contexto de las operaciones de M&A la incipiente práctica relativa a la realización de "due diligence" de ciberseguridad, así como el tratamiento de estos riesgos por parte de los compradores en un contrato de compraventa. Es posible apreciar una mayor preocupación por los compradores en el entorno norteamericano que en Europa y, en nuestra opinión, se debe a una doble circunstancia. Por un lado, existe cierta dispersión normativa en esta materia, en la que además se entremezclan disposiciones cuyo incumplimiento desencadena la imposición de graves sanciones, junto con áreas en las que se permite, en mayor o menor medida, la autorregulación. Por otro lado, los compradores norteamericanos comienzan a ser testigos de precedentes en los que fallos en materia de ciberseguridad, así como defectos en la integridad de los sistemas tecnológicos de una compañía han tenido graves consecuencias en la ejecución de operaciones de M&A ya firmadas (bien siendo causa de millonarios ajustes de precio, bien permitiendo a un comprador rescindir un contrato de compraventa ya formalizado). En este contexto, estamos siendo testigos, tanto en Norteamérica como en Europa, de como potenciales compradores están exigiendo y, los vendedores, aceptando, declaraciones y garantías más extensas y detalladas en materia de ciberseguridad e integridad de sistemas informáticos y tecnológicos. Finalmente, si bien no tenemos precedentes directamente equivalentes en España, sí existen distintas situaciones en la práctica norteamericana que avalan la rescisión de un contrato de compraventa ante la existencia de graves y generalizados defectos en materia de integridad de los sistemas internos de datos. Todas estas circunstancias deben ser conocidas y analizadas por los asesores jurídicos para ponderar su aplicación a adquisiciones concretas tanto en España como en el extranjero.

  • English

    The aim of this article is to describe the incipient commercial practice in respect of the existence of cybersecurity risks in M&A transactions, both in terms of engaging specialized due diligence providers and negotiating specific representations and warranties, indemnities and other contractual provisions included in stock purchases agreements. For the time being, the concern seems to be more acute in North America than in Europe. In our view, this partly caused by the existence of certain degree of dispersion in the applicable laws, as well as indetermination in areas where on the hand, there are strong regulatory constrains whose breach brings the imposition of severe fines by regulators, along with, on the other hand, areas in which self-regulation prevails. In addition to the foregoing, buyers in the U.S are finding precedents in which serious cybersecurity breaches, along with material and generalized data integrity issues, are causing a strong negative impact on deals already negotiated and signed (be it by means of forcing sellers to accept significant price reductions or allowing buyers to exercise their termination rights under a signed merger agreement). In this context, both in North America and Europe, we are experiencing a significant increase in the demands of buyers to have stronger, more detailed represantions and warranties dealing with personal data and information technology matters. Finally, although we have no equivalent precedent under Spanish law, it is worth nothing that US courts are starting to uphold the termination rights of buyers when there are material data integrity issues by way of asserting that the prevalence of such issues constitutes grounds for termination. All these circumstances are worth being known and analyzed by lawers and M&A advisors to decide on whether they are relevant for their acquisitions both in Spain and abroad.