Antes da entrada em vigor da Lei 13.709, de 2018 — a Lei Geral de Proteção de Dados Pessoais (LGPD), — éramos regidos por um conjunto de regras apoiadas inicialmente no Direito Civil, e, posteriormente, no Marco Civil da internet. Com o ganho de maturidade sobre a importância de se protegerem não apenas a privacidade do indivíduo, mas, especialmente, seus dados pessoais, passamos, subsidiária e analogicamente, a nos fazer valer da legislação europeia sobre o tema. 

A Capital Aberto tem um curso sobre online sobre M&A em ativos digitais. Dá uma olhada!

Com a edição da LGPD, experimentamos um novo paradigma normativo, que passou a regular, de forma harmônica e uniforme, o tratamento de dados pessoais, segundo uma visão regulatória moderna e tecnicamente complexa, além de inédita no País. Instituiu-se no Brasil o sistema brasileiro de proteção de dados pessoais, regido essencialmente pela LGPD, mas sem limitar-se a ela: de 2018 até o momento presente, foram editadas 19 leis federais tangenciando a temática de proteção de dados — com remissões explícitas à LGPD. Fora isso, tivemos uma emenda à Constituição (n.º 115, de 2022) concebida para contemplar o direito fundamental à proteção de dados e atualizar o regime de repartição de competências legislativas e materiais nesse tema. Dessa maneira, sem esforço, os cenários de amadurecimento sobre o assunto se materializaram em ondas de acontecimentos históricos. 

Destemor regulatório 

A primeira onda da proteção de dados deu-se com a própria edição da LGPD, ainda em 2018, ocasião em que a sociedade brasileira, ainda sob a vacatio legis, tomou conhecimento de um novo regime jurídico de tratamento de dados pessoais. Foi, de certa forma, um momento de conhecimento e debates interpretativos, bem como de surgimento de muitas dúvidas, de ordem tanto teórica quanto prática, a respeito da nova legislação. Nessa fase, ainda sem perspectiva de criação de um órgão de fiscalização sobre eventuais infrações à lei, a sociedade quedou-se, em sua grande parte, inerte. Poucas organizações buscaram adequar-se à LGPD. 

Em 2019, já com a conversão da medida provisória 869 na Lei 13.853, que criou a Autoridade Nacional de Proteção de Dados (ANPD) e, mais precisamente, em meados de 2020, com a sua estruturação regimental, o País conheceu a segunda onda. Nessa fase as empresas e o setor público passaram a efetivamente implementar as regras regulatórias em suas estruturas, fluxos e sistemas, promovendo, pouco a pouco, a efetividade da norma. Porém, até então, as organizações não tinham plenas condições de apurar o risco de suas operações em relação aos titulares de dados, uma vez que parte dos parâmetros normativos ainda aguardava a atuação regulamentar da ANPD. 

Enquanto o órgão se estruturava e dava os primeiros passos rumo à regulamentação da LGPD e à expedição de guias orientativos, o Poder Judiciário passou a ser provocado para decidir conflitos envolvendo agentes de tratamento e o processamento de dados pessoais — tanto por outros órgãos fiscalizadores (como o Ministério Público e os de defesa do consumidor), como pelos próprios titulares. A despeito de a entrada em vigor das penalidades legais ter-se dado somente em 1 de agosto de 2021, não havia condições jurídicas e administrativas naquele momento para atuação sancionatória da ANPD. A terceira onda da proteção de dados, portanto, foi marcada pela construção de doutrina e jurisprudência baseadas em interpretações muitas vezes desprovidas de tecnicidade regulatória sobre proteção de dados, promovendo insegurança jurídica e ampliando o desafio institucional da ANPD. 

Até então, as três primeiras ondas eram baseadas em um quase destemor regulatório. Afinal, não havia sinal de que eventuais infratores poderiam responder administrativamente perante a ANPD. Crescia, tão somente, a preocupação quanto à responsabilidade civil na LGPD. Ainda assim, timidamente. 

Agora é para valer 

Foi a partir de outubro de 2021, quando a ANPD editou o regulamento do processo de fiscalização e do processo administrativo sancionador, que a sociedade brasileira avançou sobre a chamada quarta onda da proteção de dados. Porém, ainda restava um último ato administrativo para completar todo seu aparato repressivo: o regulamento de dosimetria e aplicação de sanções administrativas, cuja minuta teve recentemente seu processo de tomada de subsídio encerrado.  

A julgar pela recusa da ANPD na prorrogação do prazo fixado para contribuições da sociedade, pode-se deduzir que, muito em breve, a autoridade editará a última ferramenta punitiva que lhe faltava, inaugurando, assim, a fase de responsabilização na matéria de proteção de dados, em que as infrações à LGPD estarão efetivamente sujeitas a punições administrativas. Em outras palavras, podemos dizer que agora a coisa é para valer. A ANPD já não mais poderá se abster de fiscalizar e aplicar sanções àqueles que descumprirem o previsto na lei. 

O novo estágio terá um impacto claro sobre as operações de fusão e aquisição, conhecidas por M&A. Até pouco tempo atrás, ainda podíamos tratar do tema da proteção de dados nessas operações como algo ancilar. Ainda que as cláusulas de declaração das partes – representations and warranties – já tratassem do assunto, os preços de aquisição ainda não contemplavam de maneira objetiva as eventuais penalidades a serem aplicadas pela ANPD. 

Dívida como outra qualquer 

Com a publicação da resolução que instituirá o regulamento de dosimetria e aplicação de sanções administrativas, esse cenário de certa leniência, por assim dizer, com o passivo relativo à proteção de dados deve mudar drasticamente. As operações de M&A deverão tratar do passivo relativo à proteção de dados tal como o fazem com outras possíveis dívidas do vendedor: tributárias, fiscais, ambientais, civis e demais.  

Assim, a fase de due diligence deve contemplar a análise minuciosa da observância das regras de proteção à privacidade, existência ou não de vulnerabilidades nos mecanismos de contenção e resposta de incidentes, análise sobre quais medidas técnicas e organizacionais estão sendo implementadas para assegurar o direito da proteção de dados, etc. Isso inexoravelmente amplia o caráter multidisciplinar das equipes incumbidas desta etapa numa operação de M&A, que agora também terão de contar com especialistas no assunto— tanto os de TI quanto os do direito. 

Por sua vez, as cláusulas relativas às retenções por essas contingências nos contratos de compra e venda – QPA ou SPA – devem estar compatíveis com os prazos prescricionais previstos na legislação aplicável e amparados por uma avaliação do cumprimento do princípio da necessidade previsto na LGPD. Do contrário, os dados pessoais sequer podem continuar a ser tratados, uma vez excessivos e desnecessários. 

A nova forma de precificar será um desafio para as partes envolvidas numa operação de M&A. Ainda não temos, afinal, uma jurisprudência consolidada da ANPD acerca da aplicação de multas, que serviria de baliza para o que seria possível ou provável em termos de contingências. Uma certeza é o fato de que as contingências demandarão atuação mais especializada das equipes contábeis e de auditoria. Caberá a elas buscar assertividade sem o auxílio de um espelho retrovisor que oriente o futuro. 

*Eduardo Montenegro Serur e Fabrício da Mota Alves são sócios do Serur Advogados; Caio Vinicius Lins Azuirson é coordenador da área empresarial no mesmo escritório     

Matérias relacionadas 

Ransonware tem efeitos catastróficos sobre os negócios e a reputação das empresas

Em busca de mais eficiência na proteção de dados

Mesmo com lei, dados ainda são tratados com descaso no Brasil