Cuando Marriott International adquirió Starwood en 2016 por $13.600 millones, ninguna compañía estaba al tanto de un ciberataque al sistema de reservaciones de Starwood que databa del 2014. La fisura, que expuso los datos personales de casi 500 millones de consumidores de Starwood, en un perfecto ejemplo de lo que llamamos un “limón de datos”; un concepto extraído del trabajo del economista George Akerlof sobre las asimetrías de la información y el problema de los “limones”. La visión de Akerlof fue que el comprador no conoce la calidad del producto que le está ofreciendo el vendedor, de forma que se arriesga a comprar un “limón”. Piense por ejemplo en los automóviles.
Estamos extendiendo ese concepto a la actividad de las fusiones y adquisiciones. En cualquier transacción entre una compañía compradora y una compañía objetivo (el vendedor), hay información asimétrica acerca de la calidad del objetivo.
Aunque los directivos han entendido este concepto desde hace mucho, eventos recientes ponen de relieve un nuevo matiz: el limón de datos. Considere que la calidad de una empresa objetivo podría estar vinculada a la fortaleza de su ciberseguridad y cumplimiento de las regulaciones de privacidad de datos. El comprador podría quedarse con un limón de datos –una brecha en la seguridad, por ejemplo– y las consiguientes penalizaciones gubernamentales, junto con el daño a la marca y la pérdida de confianza. Esta es la situación con la que ahora está lidiando Marriott. La compañía enfrenta $912 millones de dólares en multas por infracciones a la General Data Protection Regulation (GDPR) en la Unión Europea y el precio de sus acciones se ha visto afectado. El problema no termina ahí. De acuerdo con Bloomberg, “la compañía podría enfrentar hasta $1.000 millones en multas regulatorias y costos de litigio".
Marriott no es la única compañía en esta situación. En 2017, Verizon descontó en $350 millones de su precio de compra de Yahoo, que originalmente era de $4.800 millones de dólares después de enterarse — tras la adquisición— de las fugas de datos en esta última empresa. Similarmente, en abril del 2016, Abbott anunció la adquisición de St. Jude Medical, un fabricante de dispositivos médicos con base en Minnesota, sólo para enterarse un año más tarde del riesgo de hackeo en 500.000 de los marcapasos de St. Jude. Abbott terminó retirando esos dispositivos. Daiichi Sankyo, una firma japonesa, adquirió Ranbaxy, un fabricante farmacéutico de la India. Más adelante Daiichi Sankyo recurrió a los tribunales, alegando que la firma adquirida le había representado erróneamente a Daiichi los datos de cumplimiento de las regulaciones de la Food and Drug Administration (entre otras acusaciones).
Entonces, ¿qué hacer acerca de los limones de datos? Puede simplemente proseguir con la transacción, en especial si el valor generado por el acuerdo sobrepasa los riesgos. Puede tomar el camino de Verizon y reducir el precio tras la adquisición. Nosotros proponemos una tercera opción: Durante el proceso de diálogo respecto a la fusión o adquisición (M&A, por sus siglas en inglés), revise con la debida diligencia no solo los aspectos financieros de la firma a adquirir, sino también sus vulnerabilidades regulatorias. La idea es identificar potenciales fugas de datos y problemas de ciberseguridad antes de que se conviertan en su problema.
Encuentre el problema antes
En este enfoque, retomamos los estándares de cumplimiento que buscan proteger en contra de sobornos y problemas ambientales. El comprador investigaría las anteriores fugas de información de la firma objetivo y requeriría que se le informe de auditorías previas relacionadas con datos, al igual que cualquier investigación pendiente a nivel mundial. La firma compradora también realizaría una revisión de los procesos y procedimientos de su contraparte en cuanto a seguridad de la infomación, incluyendo el uso aceptable, clasificación y manejo de datos. La compradora también debería evaluar el cumplimiento de la firma objetivo de los encuadres de ciberseguridad de NIST, CIS, ISO y AICPA.
Si se descubre algún riesgo durante la revisión, el comprador debería realizar una auditoría más intensa de las políticas de la firma objetivo. Por ejemplo ¿la empresa objetivo se adhiere a algún tipo de estándares o certificaciones de datos? (Ejemplos incluyen el Gramm-Leach-Bliley Act y el Health Insurance Portability and Accountability Act de 1996). Finalmente, la debida diligencia también debería incluir una revisión de los requerimientos de privacidad de datos en contratos con terceros.
También tenga en cuenta que los documentos intercambiados entre la firma objetivo y la firma compradora pueden volverse en sí mismos un riesgo de “fuga de información”, la involuntaria liberación de datos sensibles. Por ende, tanto la firma objetivo como la adquiriente son particularmente vulnerables a los ataques de hackers durante el estudio de debida diligencia en la fusión o adquisición, algunas veces a través del acceso ilegal a terceros, incluyendo bancos, firmas legales y de contabilidad o vendedores externos involucrados en el proceso de M&A. Para reducir este riesgo es importante incrementar la seguridad de dicha información y revisar las prácticas de terceros.
Un limón de datos
Incluso si ha realizado todo lo anterior, podría adquirir un limón de datos. ¿Qué debería hacer entonces? En este punto, es esencial definir una estrategia de respuesta ante incidentes para atender los riesgos legales y comunicarlos a los consumidores. Dicha estrategia necesita ser rápida y decisiva, adoptando un enfoque multidisciplinario, y la junta directiva debe participar. El manejo de las relaciones públicas y el acercamiento con los funcionarios públicos deberá ser transparente. Estos son solo los pasos inmediatos. La firma compradora necesita revisar las prácticas que llevaron a la brecha de seguridad e identificar medidas para mejorar en adelante el programa de cumplimiento en cuanto a privacidad de datos.
Entre más proactivos sean los adquirientes para atender la seguridad de datos a través de regulaciones efectivas, será menos probable que los gobiernos respondan colocando severas leyes de privacidad.