La due diligence de protección de datos en adquisiciones europeas sigue siendo un punto ciego. En la mayoría de las transacciones PE mid-market, la revisión de datos se limita a verificar que el target tiene una política de privacidad y que sus contratos incluyen cláusulas de confidencialidad. Esa revisión no responde a la pregunta que importa: si los datos que justifican la tesis de inversión son operacionalmente utilizables bajo el RGPD.
Una due diligence RGPD pre-LOI necesita cubrir cinco áreas. Cada una genera hallazgos que afectan directamente la modelización del valuation, la estructuración del 100-day plan y la decisión de avanzar o renegociar.
1. Consent Architecture y Bases Legales
El RGPD define seis bases legales para el tratamiento de datos personales (Art. 6). En contexto D2C, las más relevantes son consentimiento, ejecución de contrato e interés legítimo. El problema recurrente: la mayoría de los targets no documentan qué base legal aplican a cada finalidad de tratamiento.
Qué investigar: solicitar el Registro de Actividades de Tratamiento (RAT) y verificar que cada actividad de marketing tiene base legal asignada y documentada. Pedir evidencia de recolección de consentimiento granular. Un checkbox único para múltiples finalidades no cumple con el RGPD. Verificar si el CRM y el ESP registran el momento, alcance y canal de recolección del consentimiento. Solicitar las DPIAs realizadas para tratamientos basados en interés legítimo o profiling.
2. Transferencias Internacionales de Datos
El RGPD restringe transferencias de datos personales a países fuera del EEE que no cuenten con una decisión de adecuación de la Comisión Europea (Art. 44-49). Para stacks D2C que usan procesadores en EE.UU., el EU-US Data Privacy Framework proporciona una base, pero solo para empresas certificadas bajo el DPF. Transferencias a otros terceros países requieren SCCs actualizadas o BCRs.
Qué investigar: mapear todos los procesadores fuera del EEE en el stack de MarTech. Para cada uno, verificar el mecanismo legal de transferencia. Si el procesador está en EE.UU., confirmar certificación DPF activa. Si no está certificado, verificar SCCs firmadas en formato post-2021. Las SCCs anteriores ya no son válidas. Verificar si se realizaron Transfer Impact Assessments (TIAs) cuando se requieren.
3. Delegado de Protección de Datos (DPO)
El RGPD exige DPO cuando la actividad principal del responsable consiste en monitoreo regular y sistemático de interesados a gran escala, o en tratamiento a gran escala de categorías especiales (Art. 37). Muchas empresas D2C caen en la primera categoría por sus actividades de profiling y segmentación.
Qué investigar: verificar si el target necesita DPO y si lo tiene designado. Solicitar evidencia de independencia funcional (Art. 38): el DPO no debe recibir instrucciones sobre el ejercicio de sus funciones. Confirmar que el DPO tiene acceso directo a la alta dirección y participa en decisiones sobre tratamiento de datos. Un DPO nominal sin visibilidad sobre el stack de MarTech es un gap operacional que las autoridades supervisoras cuestionan.
4. Derechos de los Interesados
El RGPD garantiza derechos de acceso, rectificación, supresión, portabilidad, oposición y limitación del tratamiento (Arts. 15-22). El responsable debe responder en un mes, prorrogable a tres en casos complejos. El incumplimiento sistemático de estos derechos es una de las causas más frecuentes de reclamaciones ante autoridades supervisoras.
Qué investigar: solicitar los logs de solicitudes de interesados de los últimos 12 meses. Verificar tiempo medio de respuesta, tasa de cumplimiento y si existe proceso automatizado o manual. Verificar si el CRM y el ESP soportan supresión granular y portabilidad. Confirmar que existe proceso de verificación de identidad del solicitante. Empresas D2C con bases grandes que atienden solicitudes manualmente están acumulando riesgo.
5. Madurez del Stack de MarTech
La consent architecture se materializa (o fracasa) en el stack. CMP, CRM, ESP, plataforma de analytics y ad tech necesitan operar de forma coordinada para respetar preferencias de consentimiento, ejecutar supresiones y mantener registros auditables.
Qué investigar: solicitar el diagrama del stack y verificar integración entre CMP y demás herramientas. Si la CMP no propaga preferencias de consentimiento al ESP y al CRM en tiempo real, existe brecha de cumplimiento. Verificar si tags de terceros (Meta Pixel, Google Tag) se disparan antes de la recolección de consentimiento. Auditar la configuración de Google Consent Mode v2. Un stack desintegrado es el principal factor de incumplimiento operacional en empresas D2C europeas.