Efeitos da Lei de Proteção de Dados em operações de M&A

Partes envolvidas devem observar detalhes para evitar problemas com tratamento de informações

M&A de ativos digitais/Legislação e Regulamentação/Fusões e aquisições/Artigo / 18 de janeiro de 2019
Por  e    /    Versão para impressão Versão para impressão


José Eduardo Pieri

Ilustração: Julia Padula

A Lei Geral de Proteção de Dados Pessoais (LGPD)1 entra em vigor em agosto de 2020, com novas regras para o processamento de dados pessoais em empresas de todos os setores. A importância de adesão à lei pode ser medida pelas penalidades decorrentes de seu descumprimento: multa de até 2% do faturamento da empresa no Brasil (no seu mais recente exercício, excluídos os tributos), limitada a 50 milhões de reais. No cálculo do valor da multa, a autoridade nacional de proteção de dados poderá considerar o faturamento total da empresa ou do grupo de empresas no Brasil, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração. Também não se deve menosprezar o potencial dano reputacional decorrente de incidentes envolvendo dados pessoais.

Por isso, a avaliação das práticas de processamento de dados de uma empresa target passa a ser parte essencial de qualquer operação de M&A — não só do ponto de vista da avaliação dos negócios da empresa adquirida, mas também para a salvaguarda do grupo do comprador.

 

 

Durante todas as fases de um processo de M&A — diligência legal, elaboração e negociação de contratos, fechamento e transição —, as empresas envolvidas devem ter visão clara sobre suas práticas de processamento de dados, eventuais riscos inerentes às rotinas até então adotadas e as medidas que precisam ser tomadas para a conclusão da operação.

Na fase inicial de diligência legal, por exemplo, o comprador deverá mapear a natureza dos dados pessoais coletados pela target, a finalidade para qual foram captados e a base legal para seu tratamento. Esse mapeamento ajuda o comprador a delinear o nível de detalhamento de sua diligência de proteção de dados, que pode ser desde uma simples rodada de perguntas e respostas confirmatórias e análise de documentos até uma investigação profunda envolvendo profissionais da área de tecnologia de informação e auditores especializados.

Pela perspectiva do vendedor, deve-se primeiro levar em consideração que a maturidade da empresa com relação à regulação de proteção de dados pode ter impacto direto no valor da operação. Afinal, eventual contingência ou risco de contingência será precificada no montante que o comprador estiver disposto a investir.

Além disso, durante o fornecimento de informações e documentos para o comprador e seus auditores, o vendedor deve considerar suas obrigações legais e contratuais relativas ao processamento de dados, e não fornecer bases de dados pessoais ao vendedor sem que tenha um fundamento legal para tanto — empregando, se necessário, mecanismos contratuais e técnicos de salvaguarda.

Já durante a fase de assinatura, o foco das partes será na redação de cláusulas contratuais, como condições para o fechamento e representações e garantias baseadas na conclusão da diligência legal e nos pontos de risco identificados, com a delimitação de responsabilidade sobre contingências relativas ao uso indevido de dados pessoais. O comprador deve buscar um nível de segurança contratual compatível com a atividade de processamento realizada pela target. Já o vendedor deve ter ciência de quais obrigações efetivamente assumirá e avaliar se são factíveis do ponto de vista técnico.

Por fim, a aquisição da empresa target não necessariamente dá ao comprador o direito de utilizar os dados pessoais sob custódia dela. Ainda que haja potencial de sinergia com os dados já na posse do comprador, antes de qualquer transferência ou unificação de bases de dados é importante se verificar a base legal sob a qual aquele dado foi processado, e se ela permite sua transferência para o comprador, levando em conta a finalidade para a qual se pretende utilizar o dado.


*José Eduardo de V. Pieri (jvp@bmapi.com.br) é sócio de Barbosa, Müssnich, Aragão. Colaborou Rodrigo Albero Caldeira Bastos (rab@bmapi.com.br), advogado do mesmo escritório

1Lei 13.709/18


Leia também

GDPR, versão brasileira 

O “não” da LGPD as empresas já têm 

Como tributar dados




Participe da Capital Aberto:  Assine Anuncie


Tags:  M&A LGPD Encontrou algum erro? Envie um e-mail



Matéria anterior
Tradicional carta anual da BlackRock é alvo de falsificação
Próxima matéria
Balanço do primeiro ano da entrega do informe de governança



Comentários

Escreva o seu comentário sobre este texto!

O seu endereço de e-mail não será publicado.



Recomendado para você





Leia também
Tradicional carta anual da BlackRock é alvo de falsificação
“Não sejam enganados por imitações. A carta real do Larry está a caminho”, tuitou a BlackRock, maior gestora...
estudo_aplicado_02-07

Promoção de aniversário

ASSINE O PLANO COMPLETO POR R$4,99 NOS TRÊS PRIMEIROS MESES!

{"cart_token":"","hash":"","cart_data":""}