LGPD e a sua relação com os processos de Due Diligence

Na Europa, considerando que a GDPR (regulamentação Europeia) já está em vigor desde 2018, já há pesquisas pela Merril Corporation e pela Euromoney, por exemplo, identificando que operações de fusões e aquisições têm afetado empresas que têm pouco cuidado com o tratamento de dados pessoais. 

Apesar de o número de operações de M&A ter crescido nos últimos anos no Brasil, conforme pesquisa da @pwcbrasil, com a vigência da Lei Geral de Proteção de Dados, é preciso estar atento se esse movimento se manterá firme. Isto porque, o regular tratamento de dados pessoais, conforme legislação brasileiras e estrangeiras, é tendência nos processos de Due Diligence e pode acabar frustrando algumas dessas operações. 

Além disso, especificamente sobre o “valuation” das empresas, não é de hoje que o nível de maturidade de uma empresa em relação ao tratamento dos dados dos seus clientes/consumidores, bem como a ausência de incidentes de vazamento de dados ou a existência de um plano efetivo de resposta a eventuais incidentes, reflete diretamente no seu valor de mercado. 

Para explicar melhor, a Due Diligence é uma fase de auditoria obrigatória num processo de M&A. A DD, dependendo do tamanho da empresa, pode abranger aspectos operacionais, legais, financeiros, contábeis, regulatórios, ambientais, de propriedade intelectual, dentre outros. 

De forma geral, os investidores fazem um checklist com informações e documentos da empresa a ser comprada, com posterior análise para o fim de se detectar contingências materializadas ou não. 

Nesse sentido, sugere-se que os processos de fusões e aquisições sejam revistos com a entrada em vigor da LGPD. O que se deve atentar, a partir de agora, é a necessidade de se prever, de maneira expressa nos instrumentos contratuais, obrigações e  direitos relativos à, por exemplo, confidencialidade das informações fornecidas, não apenas pela empresa-alvo, mas especialmente, dos dados das pessoas físicas tratadas ao longo do processo. 

Antes da LGPD, o checklist apresentado para a empresa-alvo dos investidores era extensa e abrangia itens às vezes desnecessários para a determinação de contingências, como muitos dados pessoais irrelevantes. Agora, sugere-se que apenas dados estritamente necessários devem constar nesses checklists. 

Para maior segurança dos investidores e profissionais que tratarem dados pessoais em um processo de M&A, poderia ser realizada uma diligência prévia à diligência oficial, a fim de se confirmar se a empresa-alvo respeita a lei no que tange aos procedimentos para a transferência de dados pessoais. 

Para a transferência de dados pessoais num processo de M&A, por exemplo, é necessário se ter uma base legal que justifique esse tratamento. Poder-se-ia pensar num primeiro momento no consentimento, ocorre que, muitas vezes, um processo de M&A exige confidencialidade, e somente as pessoas chaves terão acesso às negociações. Assim, como alternativa, sugere-se que o controlador se valha da base legal do legítimo interesse, que pode ser tanto do controlador (empresa-alvo) como de terceiros (investidores). 

Não menos importante, é definir um meio seguro para compartilhamento das informações, meio este que também atenda aos padrões de boas práticas e de governança e aos princípios gerais na lei e nas demais normas regulamentares, como as Normas Técnicas da ABNT e ISO – o famoso data room das operações de M&A. 

Ademais, além de se cuidar do tratamento dos dados pessoais da operação em si, é imprescindível acrescentar no processo de Due Diligence a averiguação do nível de regularidade ao tratamento de dados pessoais pela empresa-alvo. 

Um caso bem emblemático foi a aquisição da rede Starwood pela Marriott Internacional. O Marriott foi multado em julho de 2019 pela ICO (Gabinete do Comissário de Informação do Reino Unido) em aproximadamente US$ 127,7 milhões por não ter detectado, durante o processo de Due Diligence, a vulnerabilidade de segurança do sistema de reservas do Starwood Hotel & Resorts. Essa falha somente foi identificada após um ataque cibernético sofrido pelo próprio Marriott, que expôs aproximadamente 339 milhões de registros de hóspedes no mundo. 

Desta forma, assim como outros aspectos contribuem diretamente para avaliação de uma empresa, influenciando o valuation positiva ou negativamente, sem dúvidas, a análise do nível de adequação da empresa-alvo à LGPD, ou a outras legislações aplicáveis, será determinante para a fixação do valor de mercado após a diligência, merecendo especial atenção das partes.

Portanto, não apenas os documentos produzidos ao longo do processo deverão refletir medidas de proteção e segurança dos dados pessoais, mas também as etapas do processo como um todo precisarão ser revisadas para que a operacionalização em si não acabe por gerar contingências inesperadas.  

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Veja mais insights do slap.LAW