Due Diligence NDA Spain (Acuerdo de Confidencialidad Due Diligence)
DUE DILIGENCE NON-DISCLOSURE AGREEMENT (ACUERDO DE CONFIDENCIALIDAD PARA DUE DILIGENCE)
This Due Diligence Non-Disclosure Agreement (Acuerdo de Confidencialidad para Due Diligence) is entered into on [Agreement Date] between the parties identified below, governed by Código Civil Article 1255, Ley 1/2019, de 20 de febrero, de Secretos Empresariales (LSE), and Ley Orgánica 3/2018 (LOPDGDD) supplementing Reglamento (UE) 2016/679 (RGPD).
1. PARTIES
DISCLOSING PARTY (PARTE DIVULGADORA): [Disclosing Party Name], NIF/CIF [Disclosing NIF], registered address at [Disclosing Address], represented by [Disclosing Representative] (hereinafter "the Disclosing Party").
RECEIVING PARTY (PARTE RECEPTORA): [Receiving Party Name], NIF/CIF [Receiving NIF], registered address at [Receiving Address], represented by [Receiving Representative] (hereinafter "the Receiving Party").
2. PURPOSE
The Disclosing Party intends to share certain confidential information with the Receiving Party solely for the following purpose: [Transaction Purpose] (hereinafter "the Transaction"). The Receiving Party may use the Confidential Information only for evaluating the Transaction and for no other purpose.
3. CONFIDENTIAL INFORMATION
"Confidential Information" means all non-public information disclosed by the Disclosing Party to the Receiving Party in connection with the Transaction, whether in writing, orally, visually, electronically, or through the virtual data room (sala de datos virtual), including: [Confidential Information Scope].
Confidential Information includes all information qualifying as a secreto empresarial under Ley 1/2019 de Secretos Empresariales Article 1 — information that is not publicly known, has commercial value, and has been the subject of reasonable steps to maintain its secrecy.
Confidential Information does not include information that: (a) is or becomes publicly available through no fault of the Receiving Party; (b) was already known to the Receiving Party prior to disclosure; (c) is independently developed by the Receiving Party without reference to the Confidential Information; or (d) is required to be disclosed by law, court order, or regulatory authority — in which case the Receiving Party shall notify the Disclosing Party promptly and cooperate to minimise the scope of disclosure.
4. OBLIGATIONS OF THE RECEIVING PARTY
The Receiving Party shall: (a) maintain strict confidentiality regarding all Confidential Information; (b) use Confidential Information solely for evaluating the Transaction; (c) disclose Confidential Information only to: [Permitted Recipients], each bound by confidentiality obligations no less restrictive than this Agreement; (d) not copy, reproduce, or extract Confidential Information beyond what is necessary for Transaction evaluation; and (e) implement appropriate technical and organisational measures (medidas técnicas y organizativas) under RGPD Article 32 to protect Confidential Information from unauthorised access.
The Receiving Party shall notify the Disclosing Party immediately upon becoming aware of any unauthorised access, disclosure, or loss of Confidential Information.
5. RETURN AND DESTRUCTION
Upon the Disclosing Party's written request, or upon termination of Transaction evaluation, the Receiving Party shall promptly return or certifiably destroy (destruir de manera certificada) all Confidential Information — including electronic copies stored on servers, computers, and cloud storage — and provide written confirmation of destruction. Regulatory retention obligations imposed by the AEAT, CNMV, or applicable law are excepted.
6. DATA PROTECTION (RGPD / LOPDGDD)
Where Confidential Information includes personal data (datos personales) within the meaning of RGPD Article 4(1), the Receiving Party shall process such data only: (a) for the purpose of evaluating the Transaction under RGPD Article 6.1(f) legitimate interest; (b) in compliance with the data minimisation principle under RGPD Article 5(1)(c); and (c) subject to a data processing agreement (acuerdo de encargado del tratamiento) under RGPD Article 28 where the Receiving Party acts as data processor. The Receiving Party shall notify the Disclosing Party of any personal data breach within 72 hours of discovery under RGPD Article 33.
7. DURATION AND REMEDIES
The confidentiality obligations under this Agreement shall remain in force for [NDA Duration] from the date of first disclosure of Confidential Information. For information qualifying as secretos empresariales under Ley 1/2019 LSE, statutory protection continues as long as the information remains secret, independent of this contractual term.
Breach of this Agreement entitles the Disclosing Party to: (a) civil damages under Código Civil Articles 1101 and 1106; (b) injunctions and other remedies under Ley 1/2019 LSE Articles 9 through 11, including cessation of use (cesación), seizure of infringing materials, and publication of judgment; and (c) interim injunctions (medidas cautelares) under LEC Article 721. AEPD administrative sanctions under RGPD Article 83 may also apply for personal data breaches.
8. GOVERNING LAW AND JURISDICTION
This Agreement is governed by Spanish law. The parties submit disputes to the jurisdiction of [Governing Court]. The parties shall first attempt resolution through mediation under Ley 5/2012 before commencing proceedings.
SIGNATURES
Signed on [Agreement Date].
DISCLOSING PARTY Signed: _______________________ Name: [Disclosing Representative] On behalf of: [Disclosing Party Name] Date: _______________________
RECEIVING PARTY Signed: _______________________ Name: [Receiving Representative] On behalf of: [Receiving Party Name] Date: _______________________
What Is a Due Diligence NDA Spain (Acuerdo de Confidencialidad Due Diligence)?
A Due Diligence NDA Spain (Acuerdo de Confidencialidad para Due Diligence) is a binding contract under which a disclosing party (parte divulgadora) agrees to share confidential business, financial, legal, or technical information with a receiving party (parte receptora) for the sole purpose of evaluating a potential merger, acquisition, investment, joint venture, or financing transaction, and the receiving party agrees not to disclose or misuse that information. The agreement is governed by Código Civil Article 1255 (freedom of contract — autonomía de la voluntad), the Ley 1/2019, de 20 de febrero, de Secretos Empresariales (LSE — implementing EU Directive 2016/943 on trade secrets), and Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), which supplements Reglamento (UE) 2016/679 (RGPD).
The Ley 1/2019 de Secretos Empresariales provides the primary statutory framework for protecting business confidential information in Spain, defining a secret empresarial (trade secret) in Article 1 as information that is: (1) secret — not generally known or readily accessible to persons in the relevant business sector; (2) has commercial value because it is secret; and (3) has been subject to reasonable steps to maintain its secrecy. The LSE criminalises the unlawful acquisition, use, or disclosure of trade secrets under Articles 3 through 5, and Article 9 provides civil remedies including injunctions (medidas cautelares), damages (daños y perjuicios), and publication of the judgment. The Juzgado de lo Mercantil has jurisdiction over trade secret infringement claims under Article 86 ter LOPJ.
In a due diligence context — whether for mergers and acquisitions (M&A), private equity (capital riesgo) investment under the framework of the Comisión Nacional del Mercado de Valores (CNMV) supervision, real estate portfolio acquisition (due diligence inmobiliaria), or financing transactions subject to the Ley del Mercado de Valores (LMV, Ley 6/2023) — the disclosing party typically provides access to a virtual data room (sala de datos virtual) containing sensitive financial statements (cuentas anuales), pending litigation (litigios pendientes), intellectual property registrations before the Oficina Española de Patentes y Marcas (OEPM), employment contracts and social security liabilities, environmental compliance records, and tax compliance history with the Agencia Tributaria (AEAT).
The RGPD and LOPDGDD require that any personal data (datos personales) shared during due diligence — including employee records, customer databases, and management information — be disclosed under a data processing agreement (acuerdo de tratamiento de datos) identifying the legal basis under RGPD Article 6 (typically legitimate interest — Article 6.1(f)) and applying appropriate technical and organisational measures (medidas técnicas y organizativas) to protect the data. The Agencia Española de Protección de Datos (AEPD) has issued guidance on data transfers during M&A transactions confirming that personal data may be shared in due diligence under legitimate interest, subject to proportionality and necessity assessments.
Spanish M&A practice routinely involves a two-stage NDA process: a broad mutual NDA at initial contact (letter of intent — carta de intención) followed by a more detailed one-way due diligence NDA upon execution of a non-binding term sheet (hoja de términos or memorando de entendimiento — MOU). The Acuerdo de Confidencialidad para Due Diligence Spain is the second, more detailed document governing the data room access and disclosure process.
When Do You Need a Due Diligence NDA Spain (Acuerdo de Confidencialidad Due Diligence)?
A Due Diligence NDA Spain is needed at the outset of any structured process in which a target company (empresa objetivo), its shareholders, or its advisers share non-public financial, legal, or commercial information with a potential acquirer, investor, or lender to enable informed transaction evaluation.
The agreement is needed when a private equity firm (firma de capital riesgo) registered with the CNMV initiates due diligence on a Spanish target company — before accessing audited accounts (cuentas auditadas), management accounts, pending litigation schedules, IP portfolios registered with the OEPM, or customer and supplier contracts.
A Due Diligence NDA Spain is required when a strategic acquirer (adquirente estratégico) — a Spanish or foreign company — initiates a merger or acquisition process involving a Spanish empresa and needs access to the target's virtual data room organised by the target's M&A advisers (banco de inversión or asesor financiero).
The agreement is needed when a venture capital fund (fondo de capital riesgo) or business angel (inversor ángel) is evaluating a minority investment in a Spanish startup (startup española) and requires access to financial projections, technology IP, and key commercial contracts before executing a term sheet under the Ley 22/2014 de entidades de capital-riesgo.
A Due Diligence NDA Spain is required when a lender — a bank (entidad de crédito) supervised by the Banco de España under Ley 10/2014 de ordenación, supervisión y solvencia de entidades de crédito — conducts credit due diligence before extending a syndicated loan or project finance facility to a Spanish borrower.
The agreement is also needed when a real estate investment fund (SOCIMI — Sociedad Cotizada de Inversión en el Mercado Inmobiliario, governed by Ley 11/2009) is evaluating the acquisition of a property portfolio from a Spanish vendor and requires access to tenancy schedules, building surveys, and environmental compliance records before executing a preliminary sale agreement (contrato de arras or contrato privado de compraventa).
Parties in Spain should prepare a Due Diligence NDA Spain (Acuerdo de Confidencialidad Due Diligence) proactively rather than waiting for a dispute to arise. Courts interpret agreements based on the written terms rather than oral representations. Under the Ley de Sociedades de Capital (LSC) RDL 1/2010, the Registro Mercantil maintains the register of Spanish companies. The Código de Comercio 1885 governs commercial obligations. The Agencia Estatal de Administración Tributaria (AEAT) administers Impuesto sobre Sociedades (IS) under Ley 27/2014. The Comisión Nacional de los Mercados y la Competencia (CNMC) enforces competition law. The Código Civil governs general contractual obligations under Article 1255. Where the transaction involves regulated activities, prior approval from the relevant authority may be required before execution.
What to Include in Your Due Diligence NDA Spain (Acuerdo de Confidencialidad Due Diligence)
A valid Due Diligence NDA Spain under Código Civil Article 1255 and Ley 1/2019 de Secretos Empresariales must contain the following essential elements.
Identification of Parties: Full legal name, NIF or CIF, registered address, and Registro Mercantil details of both the disclosing party (parte divulgadora) and the receiving party (parte receptora). The legal representative of each entity, with notarial power of attorney (escritura de poder) reference, must sign.
Definition of Confidential Information: A precise definition of what constitutes información confidencial — typically covering all non-public business, financial, technical, legal, and commercial information disclosed in connection with the transaction, whether in writing, orally, visually, or through the virtual data room. Exclusions for information that is already publicly known, independently developed, or required to be disclosed by law or court order (divulgación obligatoria por ley) must be specified.
Transaction Purpose: Clear statement of the permitted purpose (finalidad) — typically the evaluation of a potential acquisition, investment, or financing transaction — outside which the confidential information may not be used. Misuse of confidential information beyond the stated purpose constitutes both a civil breach and a potential trade secret infringement under Ley 1/2019 LSE Article 3.
Permitted Recipients: Definition of the receiving party's representatives (asesores, empleados, consejeros) who may access confidential information on a need-to-know basis, with the receiving party remaining liable for breaches by its representatives. Investment banks, legal advisers (abogados), and financial advisers (auditores and asesores financieros) are typically included.
Data Room Protocols: Provisions governing access to the virtual data room — login credentials, permitted downloads, prohibition on bulk extraction, and watermarking of documents — consistent with the Ley Orgánica 3/2018 (LOPDGDD) data minimisation principle under RGPD Article 5(1)(c).
Return and Destruction: Obligation to return or certifiably destroy (destruir de manera certificada) all confidential information — including copies in electronic format stored on servers and devices — upon termination of the NDA or conclusion of the transaction process, subject to regulatory retention requirements imposed by the AEAT or CNMV.
Term and Termination: Duration of the confidentiality obligation — typically 2 to 5 years from the date of disclosure, depending on the sensitivity of the information — and termination provisions. Post-transaction confidentiality obligations for information not incorporated into public disclosure documents.
Remedies and RGPD Compliance: Reference to civil remedies under Ley 1/2019 LSE Articles 9 through 11 — injunctions (prohibición de uso), damages, and publication of judgment. Data protection compliance clause under RGPD and LOPDGDD, identifying the legal basis for personal data transfer, the data processor role (encargado del tratamiento) of the receiving party's advisers, and AEPD notification obligations.
Governing Law and Jurisdiction: Spanish law as the governing law (ley aplicable) and the Juzgado de lo Mercantil of the disclosing party's registered domicile as the competent court, or agreed arbitration before the Corte de Arbitraje de Madrid (CAM) under Ley 60/2003 de Arbitraje.
Forms-legal.com provides this Due Diligence NDA Spain template as a practical starting point for transaction documentation. All M&A and investment processes should involve specialist legal advice from a Spanish abogado or international law firm experienced in Spanish corporate transactions.
Additional compliance elements for a Due Diligence NDA Spain (Acuerdo de Confidencialidad Due Diligence) used in Spain include: Under the Ley de Sociedades de Capital (LSC) RDL 1/2010, the Registro Mercantil maintains the register of Spanish companies. The Código de Comercio 1885 governs commercial obligations. The Agencia Estatal de Administración Tributaria (AEAT) administers Impuesto sobre Sociedades (IS) under Ley 27/2014. The Comisión Nacional de los Mercados y la Competencia (CNMC) enforces competition law. The Código Civil governs general contractual obligations under Article 1255. Forms-legal.com provides this template as a starting point for Spain-compliant documentation.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Due Diligence NDA Spain (Acuerdo de Confidencialidad Due Diligence) (Spain) [Legal document template]. Forms Legal. https://forms-legal.com/espana/business/contracts/due-diligence-nda-spain
"Due Diligence NDA Spain (Acuerdo de Confidencialidad Due Diligence) (Spain)." Forms Legal, 2026, https://forms-legal.com/espana/business/contracts/due-diligence-nda-spain.
@misc{formslegal-due-diligence-nda-spain,
author = {{Forms Legal}},
title = {Due Diligence NDA Spain (Acuerdo de Confidencialidad Due Diligence) (Spain)},
year = {2026},
howpublished = {\url{https://forms-legal.com/espana/business/contracts/due-diligence-nda-spain}},
note = {Free legal document template}
}Also available for these jurisdictions:
Frequently Asked Questions
La protección de secretos empresariales en España se rige principalmente por la Ley 1/2019, de 20 de febrero, de Secretos Empresariales (LSE), que transpuso la Directiva (UE) 2016/943 al ordenamiento español. El artículo 1 LSE define el secreto empresarial como aquella información que: (1) no es conocida generalmente ni fácilmente accesible en el sector correspondiente; (2) tiene valor comercial por su carácter secreto; y (3) ha sido objeto de medidas razonables para mantener su secreto por quien la controla —como acuerdos de confidencialidad, controles de acceso y protocolos de sala de datos—. Los artículos 3 a 5 LSE distinguen la obtención lícita (ingeniería inversa, descubrimiento independiente) de la obtención ilícita (infracción de acuerdos de confidencialidad, espionaje industrial, acceso no autorizado). Los remedios civiles de los artículos 9 a 11 LSE incluyen medidas cautelares y de cesación, indemnización de daños calculada sobre los beneficios del infractor o las pérdidas del titular, y secuestro de los bienes infractores. El Juzgado de lo Mercantil ostenta la jurisdicción competente. Las infracciones graves de secretos empresariales también pueden dar lugar a sanciones penales conforme al artículo 278 del Código Penal.
Los datos personales de empleados, clientes u otras personas físicas pueden compartirse durante la due diligence de M&A en España conforme al Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), sujetos a las siguientes condiciones. La base jurídica es habitualmente el interés legítimo del artículo 6.1.f del RGPD —el interés de las partes en evaluar la transacción—, sujeto a un juicio de proporcionalidad y necesidad. Los datos deben anonimizarse o seudonimizarse en la medida de lo posible antes de su divulgación. La parte receptora actúa como encargada del tratamiento de los datos personales accedidos en la sala de datos, lo que exige un acuerdo de encargado del tratamiento (DPA) conforme al artículo 28 RGPD. La Agencia Española de Protección de Datos (AEPD) ha confirmado en criterios interpretativos que la divulgación limitada de datos personales durante la due diligence es admisible bajo el interés legítimo, siempre que se informe a los interesados y los datos no se utilicen más allá de la finalidad de la transacción. Las transferencias de datos personales a partes receptoras situadas fuera de la UE exigen garantías adicionales conforme a los artículos 44 a 50 del RGPD.
El incumplimiento de un Acuerdo de Confidencialidad para Due Diligence España confiere a la parte divulgadora múltiples acciones conforme al derecho español. En virtud de los artículos 1101 y 1106 del Código Civil, la parte incumplidora responde de todos los daños y perjuicios directamente causados por el incumplimiento —incluidos el lucro cesante y el daño emergente derivados de la divulgación indebida—. Conforme a los artículos 9 a 11 de la Ley 1/2019 de Secretos Empresariales, la parte divulgadora puede solicitar: (1) la cesación del uso infractor; (2) la prohibición de divulgación futura; (3) el embargo y destrucción de los documentos infractores; (4) la indemnización calculada sobre las pérdidas reales de la parte divulgadora o el enriquecimiento injusto del infractor; y (5) la publicación de la sentencia en medios comerciales a expensas del infractor. Pueden solicitarse medidas cautelares al Juzgado de lo Mercantil conforme al artículo 721 LEC para impedir divulgaciones adicionales durante el proceso judicial. Cuando exista una vulneración de datos personales, también pueden aplicarse sanciones administrativas de la AEPD de hasta 20 millones de euros o el 4 % del volumen de negocios global anual conforme al artículo 83 RGPD.
La duración del Acuerdo de Confidencialidad para Due Diligence España se rige por el artículo 1255 del Código Civil —las partes tienen libertad para pactar cualquier plazo que no sea contrario a la ley, la moral o el orden público—. En la práctica española de M&A, las obligaciones de confidencialidad en los NDA de due diligence tienen una vigencia habitual de dos a cinco años desde la fecha de la primera divulgación, en atención a la sensibilidad comercial de la información y la duración prevista del proceso de la operación. Algunos NDA españoles distinguen entre la confidencialidad comercial general (dos a tres años) y las obligaciones de protección de datos personales (que conforme al RGPD deben mantenerse mientras la parte receptora conserve los datos). No existe un plazo máximo legal para las obligaciones contractuales de confidencialidad en España, aunque los tribunales han aplicado los principios de proporcionalidad de los artículos 7 y 1258 del Código Civil al examinar las cláusulas de confidencialidad perpetua en contratos mercantiles. Para los secretos empresariales que cumplan los requisitos de la Ley 1/2019 LSE, la protección legal se mantiene mientras la información conserve su carácter secreto, con independencia del plazo contractual del NDA.
El Acuerdo de Confidencialidad para Due Diligence suscrito por una persona jurídica en España vincula a la empresa conforme a los artículos 1257 y 1258 del Código Civil, y la empresa responde de los incumplimientos cometidos por sus empleados, administradores y asesores en el ejercicio de sus funciones o dentro del ámbito de su empleo. Para vincular directamente a los empleados de forma individual, cada empleado que acceda a la información confidencial de due diligence debe suscribir un compromiso individual de confidencialidad que haga referencia al NDA de due diligence. Conforme al artículo 5.a del Estatuto de los Trabajadores, los empleados tienen un deber general de buena fe y lealtad hacia su empleador, que abarca implícitamente la información confidencial recibida en nombre de este. Los administradores de sociedades españolas están sujetos al deber fiduciario específico de confidencialidad del artículo 228.b de la Ley de Sociedades de Capital (LSC, RDL 1/2010), que se extiende a la información recibida en su condición de administradores incluso después de cesar en el cargo. La Ley 1/2019 de Secretos Empresariales impone además responsabilidad directa a las personas físicas que obtengan, utilicen o divulguen ilícitamente secretos empresariales con independencia de la cobertura contractual.
La sala de datos virtual (VDR) es una plataforma en línea segura utilizada en las operaciones de M&A y financiación españolas para proporcionar acceso organizado y controlado a los documentos confidenciales de due diligence. La práctica española de M&A —en particular para operaciones supervisadas por la CNMV o que involucran entidades de capital riesgo registradas conforme a la Ley 22/2014— estructura habitualmente la VDR en secciones que comprenden: documentos societarios (estatutos sociales, escrituras, certificaciones del Registro Mercantil); información financiera (cuentas anuales auditadas, cuentas de gestión, declaraciones tributarias presentadas ante la AEAT); contratos (principales contratos con clientes y proveedores); laboral y RRHH (contratos de trabajo, nóminas, certificados de la TGSS); propiedad industrial y tecnología (registros OEPM, licencias de software); litigios (procedimientos judiciales pendientes); y cumplimiento normativo (licencias, autorizaciones sectoriales). El administrador de la VDR mantiene registros de acceso que documentan la actividad de cada usuario y sirven como prueba del alcance de la divulgación en eventuales litigios. Conforme a la Ley Orgánica 3/2018 (LOPDGDD), los operadores de VDR que tratan datos personales por cuenta de las partes de la operación actúan como encargados del tratamiento conforme al artículo 28 RGPD y deben cumplir los requisitos de seguridad del artículo 32 RGPD.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Acuerdo de Concesionario España — Código de Comercio art. 244
Acuerdo de Concesionario para España conforme al Código de Comercio arts. 244–280, la Ley 12/1992 de Contrato de Agencia y el Reglamento (UE) 2022/720 de exención por categorías (VBER), que regula la distribución exclusiva de productos entre concedente y concesionario.
Acuerdo de Confidencialidad Personal España — Código Civil art. 1255
Acuerdo de Confidencialidad Personal para España conforme al artículo 1255 del Código Civil y la Ley 1/2019 de Secretos Empresariales, que protege información personal, creativa o empresarial compartida entre particulares fuera de una relación laboral o mercantil formal.
Acuerdo de Consorcio España
Acuerdo de Consorcio para España — regulado por el Código Civil Artículo 1665 y la Ley de Contratos del Sector Público (Ley 9/2017), que establece una agrupación temporal entre empresas independientes para licitar y ejecutar un proyecto, concurso o contrato específico en el mercado español.
Acuerdo de Confidencialidad de Empleado España
Acuerdo de Confidencialidad de Empleado para España — conforme al artículo 5.a del Estatuto de los Trabajadores (RDL 2/2015) y la Ley 1/2019 de Secretos Empresariales, protegiendo los secretos comerciales, datos de clientes e información empresarial revelada al trabajador durante la relación laboral.