A disciplina da proteção de dados pessoais produz efeitos em toda a sociedade. Não seria diferente em operações societárias, mesmo naquelas em que o objeto é a aquisição de uma sociedade, linha de negócio, base de dados ou marca. As obrigações e potenciais riscos do compartilhamento de dados pessoais envolvidos na operação não podem mais ser ignorados, especialmente a partir da entrada em vigor, no último dia 18 de setembro, da Lei Geral de Proteção de Dados Pessoais (LGPD), a Lei 13.709/18.
Nesse contexto, o tema da proteção de dados se reflete, principalmente, em dois aspectos: as responsabilidades do receptor no compartilhamento de dados pessoais durante processo de due diligence e os riscos oriundos da aquisição de um ativo não adequado às normas legais e regulatórias sobre proteção de dados pessoais.
Quanto ao primeiro ponto, notadamente, a realização de due diligence requer o envio e a disponibilização de diversos documentos para que a interessada possa analisar o valor da empresa target e os riscos de uma potencial transação. No entanto, a prática nos mostra que, muitas vezes, os materiais compartilhados estão repletos de dados pessoais, como informações sobre empregados e/ou clientes.
Leia outros artigos exclusivos aqui.
Pergunta-se, então: qual seria a base legal aplicável para essa divulgação, que configura um tratamento pela LGPD? A prática mais disseminada é o apoio no legítimo interesse da empresa que está compartilhando os dados pessoais, com o intuito de viabilizar a análise pela outra parte (e seus assessores) da operação em si. Contudo, essa análise deve ocorrer caso a caso, a depender de quais dados pessoais estão sendo compartilhados. Além disso, é fundamental que as partes envolvidas estejam vinculadas à obrigações de confidencialidade, deixando expresso que os dados não podem ser utilizados de forma diversa do acordado, entre outras medidas.
De todo modo, há que se adotar diversas medidas para proteger os dados pessoais compartilhados no contexto de uma due diligence — como, por exemplo, a limitação do compartilhamento aos dados estritamente necessários para satisfação do interesse, a utilização de mecanismos de segurança para proteger os respectivos documentos, o que reflete também na escolha de um ambiente online seguro.
É válido dizer que, numa operação, são diversos agentes que podem ter acesso aos dados pessoais da target, sejam eles assessores legais, financeiros, consultores e auditores. O papel de cada agente deve estar bem descrito e alinhado, sendo idealmente designados pelas partes envolvidas os limites das responsabilidades de cada um como controladores e/ou operadores na forma da LGPD.
Risco das atividades da empresa target
Sobre o segundo ponto (os riscos relacionados à atividade da target), a empresa interessada deve garantir que receberá toda a informação necessária para avaliar o seu nível de adequação à lei e, a partir disso, tentar dimensionar o risco envolvido na operação. O processo de due diligence comentado anteriormente é, portanto, essencial, e deve idealmente contar com o apoio de profissionais de segurança da informação — eles deverão avaliar os riscos técnicos e a suscetibilidade a violações e incidentes de segurança possam vir a ocorrer. A ausência de informação relevante e que impeça o conhecimento de alguma irregularidade pode, no futuro, ser causa de processo administrativo, judicial ou da aplicação de multas, o que em muitas vezes afeta a parte que adquiriu o ativo em questão.
Leia também
O uso da inteligência artificial sob a LGPD
Inteligência artificial: da ficção à economia real
Como fica o compliance com a LGPD
Esses riscos em um processo de due diligence já estão se mostrando desafiadores e criando linhas de negociação a pedido dos compradores e seus assessores. Exemplos são renegociação do preço de aquisição, exigência de indenização pelos vendedores da target em decorrência de violações à LGPD ocorridas antes da aquisição, aumento dos limites de indenização dos vendedores, usuais para esse tipo de transação, em virtude da dificuldade de se mensurar e avaliar as práticas de tratamento de dados da target.
Em 2016, durante as negociações da aquisição de uma prestadora de serviços de internet por uma gigante das telecomunicações, a adquirente tomou conhecimento de que, anteriormente, a target sofreu um vazamento que comprometeu dados de cerca de 1 bilhão de contas. Essa contingência ocasionou uma renegociação do preço de aquisição, que foi reduzido em 350 milhões de dólares.
Com a LGPD em vigor, sobreleva-se a necessidade de condução dos negócios em conformidade com as regras e princípios da lei, obrigando as empresas e seus assessores a se adequarem a essa (não tão) nova perspectiva nas operações de M&A. Apesar de as sanções administrativas só poderem ser aplicadas em 2021, diversos órgãos e entidades já vêm fiscalizando o cumprimento da LGPD.
Como demonstrado, o resultado de ambas as análises pode impactar diretamente o valor da negociação e, inclusive, impedir que ela se conclua. Em contrapartida, caso nenhuma análise de dados seja feita, a empresa adquirente estará sujeita a diversas consequências econômicas e reputacionais, que a ela serão exclusivamente imputadas.
Guilherme Tranquillini ([email protected]) é sócio da prática de corporate & securities do Tauil & Chequer Advogados. Coautoria de Cristiane Manzueto ([email protected]), head da área de proteção de dados e propriedade intelectual e do mesmo escritório.
Para continuar lendo, cadastre-se!
E ganhe acesso gratuito
a 3 conteúdos mensalmente.
Ou assine a partir de R$ 34,40/mês!
Você terá acesso permanente
e ilimitado ao portal, além de descontos
especiais em cursos e webinars.
User Login!
Você atingiu o limite de {{limit_online}} matérias gratuitas por mês.
Faça agora uma assinatura e tenha acesso ao melhor conteúdo sobre mercado de capitais
Ja é assinante? Clique aqui