Cuando un fondo PE evalúa un target D2C en España, la due diligence de protección de datos suele limitarse al RGPD. Es un error. La LOPDGDD añade capas de obligación que la normativa europea no cubre y que la AEPD fiscaliza activamente. Ignorar la LOPDGDD en la due diligence es aceptar pasivos que pueden materializarse en el primer año post-close.
Esta revisión pre-LOI cubre cinco áreas donde la LOPDGDD crea exposición adicional. Cada una requiere artefactos específicos que el target debe poder producir.
1. Comunicaciones Comerciales Electrónicas y LSSI
En España, el envío de comunicaciones comerciales electrónicas no se rige solo por el RGPD. La Ley 34/2002, de Servicios de la Sociedad de la Información (LSSI), exige consentimiento expreso previo para el envío de comunicaciones comerciales por correo electrónico, SMS o cualquier medio equivalente. La única excepción es la relación contractual previa para productos o servicios similares.
Qué investigar: verificar si el target tiene consentimiento LSSI específico para comunicaciones comerciales, distinto del consentimiento RGPD para tratamiento de datos. Solicitar evidencia de los mecanismos de opt-in utilizados. Comprobar si las comunicaciones comerciales se identifican como tales de forma clara. Verificar que incluyen mecanismo de baja funcional. La AEPD sanciona el envío de comunicaciones comerciales sin consentimiento LSSI con multas que pueden alcanzar los 150.000 euros.
2. Lista Robinson y Sistemas de Exclusión Publicitaria
La LOPDGDD (Art. 23) obliga a consultar los sistemas de exclusión publicitaria antes de dirigir comunicaciones comerciales a personas que no sean clientes. En España, el sistema principal es la Lista Robinson, gestionada por la Asociación Española de Economía Digital (Adigital). Los responsables de ficheros con fines publicitarios deben consultar esta lista y excluir de sus envíos a quienes estén inscritos.
Qué investigar: verificar si el target consulta la Lista Robinson de forma periódica. Solicitar registros de consultas realizadas en los últimos 12 meses. Verificar que el proceso de consulta está automatizado e integrado con el ESP o el CRM. Si el target nunca ha consultado la Lista Robinson, todas sus campañas de captación pueden haber incumplido la LOPDGDD. Ese historial es un pasivo que el comprador hereda.
3. Edad de Consentimiento Digital
El RGPD establece 16 años como edad por defecto para el consentimiento digital, pero permite a los Estados miembros reducirla hasta 13 años. España, a través de la LOPDGDD (Art. 7), fijó la edad en 14 años. Esto significa que el tratamiento de datos de menores de 14 años requiere consentimiento del titular de la patria potestad.
Qué investigar: si el target tiene audiencia que pueda incluir menores (moda, gaming, educación, apps), verificar que existe mecanismo de verificación de edad. Verificar que el consentimiento de menores entre 14 y 16 años se gestiona conforme a la LOPDGDD, no al estándar RGPD de 16 años. Para targets D2C con audiencia joven, la ausencia de verificación de edad es un vector de riesgo específico ante la AEPD.
4. Derechos Digitales Laborales
El Título X de la LOPDGDD establece derechos digitales en el entorno laboral que no tienen equivalente directo en el RGPD. Incluyen: derecho a la desconexión digital, derecho a la intimidad en el uso de dispositivos digitales proporcionados por el empleador, regulación de la videovigilancia y grabación de sonido en el lugar de trabajo, y regulación de la geolocalización laboral.
Qué investigar: solicitar la política de desconexión digital (obligatoria tras el acuerdo empresa-representación de los trabajadores). Verificar si existen políticas sobre uso de dispositivos digitales corporativos. Si el target utiliza videovigilancia, verificar cumplimiento con la LOPDGDD y señalización adecuada. Si utiliza geolocalización de empleados (repartidores, comerciales), verificar información previa a los trabajadores. Los incumplimientos en esta área generan riesgo laboral y de protección de datos simultáneamente.
5. Historial Sancionador y Reclamaciones AEPD
La AEPD publica sus resoluciones sancionadoras. Antes de la LOI, es imprescindible verificar si el target tiene historial sancionador. Una empresa con sanciones previas de la AEPD está bajo un escrutinio reforzado. Reincidencias agravan las sanciones futuras.
Qué investigar: consultar el buscador de resoluciones de la AEPD filtrando por el nombre del target y sus filiales. Solicitar al target declaración de reclamaciones pendientes ante la AEPD. Verificar si existen procedimientos sancionadores en curso. Consultar también el Registro General de Protección de Datos para verificar inscripciones históricas (requisito anterior al RGPD que algunas empresas no han actualizado). Un historial limpio no garantiza cumplimiento, pero un historial sancionador confirma incumplimientos previos que pueden repetirse.