Nos últimos anos, as leis de proteção de dados elevaram significativamente a importância da conformidade com a privacidade e a proteção de dados em relação às transações de fusões e aquisições. O grau de conformidade, ou desconformidade, com a proteção de dados da empresa que está em processo de negociação pode afetar o preço final ou até mesmo inviabilizar o negócio. Sendo essencial esta apuração para evitar surpresas indesejadas no futuro.
O processo de due diligence de uma empresa-alvo está sujeito a novos requisitos e padrões e, na medida em que as suas atividades de tratamento de dados pessoais não estejam de acordo com as leis de proteção de dados (GDPR e LGPD, por exemplo), os compradores podem enfrentar riscos significativos, que, além de multas que podem chegar ao montante de até 20 milhões de euros, ou até 4% do faturamento global anual de um grupo, se superior, no caso de não conformidade com o GDPR, e de até 2% do faturamento de uma organização, limitadas a R$ 50 milhões por infração, no caso de desconformidade com a LGPD.
Ademais, as consequências da não conformidade não se limitam as multas, mas também incluem os custos associados, como honorários advocatícios e custos de litígio, além de sanções como de bloqueio das atividades com o dado pessoal envolvido no incidente (art. 52, LGPD) e possíveis danos de imagem e reputacional que a exposição pode gerar e que impactarão na posição de mercado de uma empresa.
Ainda, a não observância à proteção de dados pessoais pode resultar em ações judiciais e reclamações de titulares por danos materiais e imateriais, que podem ser tão onerosas quanto as multas aplicadas pelas autoridades reguladoras.
Dito isto, ressalta-se a importância de avaliar o nível de conformidade ao GDPR e à LGPD da empresa-alvo, pois os compradores poderão adquirir uma empresa não conforme que traz consigo grandes riscos. É aconselhável uma avaliação detalhada para mitigação dos riscos, listamos algumas providências que se fazem necessário:
- Aferir se a empresa-alvo implementou um programa de adequação às leis de proteção de dados;
- Averiguar o mapeamento dos dados pessoais afim de dimensionar o volume e tipos de dados tratados, as categorias e quantidade de titulares envolvidos e sob quais bases legais os dados foram coletados pela empresa-alvo, e se tal base permite a transferência dos dados para a empresa adquirente;
- Apurar os documentos de proteção de dados e as medidas técnicas e organizacionais implementadas para a segurança dos dados pessoais;
- Verificar se a empresa-alvo teve incidentes com dados pessoais e como respondeu a esses incidentes;
- Levantar as informações sobre quaisquer investigações, disputas, processos regulatórios, administrativos ou judiciais relacionados a questões de privacidade e proteção de dados;
- Averiguar como a empresa-alvo garante os direitos dos titulares de dados;
- Apurar se há operações envolvendo transferência internacional de dados e se as salvaguardas e mecanismos apropriados são adotados.
Com as informações apuradas no processo de Due Diligence, será exposto como a empresa teve contato e como lidou com questões de segurança, se foi atingida, se estava fragilizada em determinada situação, se há na sua cultura um programa para proteção de dados pessoais, além de outros riscos de conformidade analisados. E, após essa avaliação, os gaps identificados deverão, idealmente, serem sanados antes da conclusão da operação, e, na medida em que isso não for possível, os riscos relevantes devem ser apontados nos documentos da transação e podem refletir em garantias apropriadas estipuladas no contrato de compra (por exemplo, indenizações).
Ressalta-se, que da perspectiva do comprador, nenhuma limitação financeira deve ser estipulada em relação às garantias listadas, visto os custos inestimáveis que uma infringência à lei pode causar.
Portanto, ao abordar operações de M&A é importante considerar que as práticas de privacidade e proteção de dados não são mais opcionais. Coloca-se como uma obrigação legal e uma forma de mitigar riscos e garantir a integridade da organização pós-fusão ou aquisição. Também é um definidor quanto à confiança que clientes e parceiros estão dispostos a depositar na transação e melhora significativamente as chances de um negócio bem-sucedido.
Antonielle Freitas – Membro da Comissão Especial de Privacidade e Proteção de Dados da OAB/SP, DPO e Head da Área de Proteção de Dados do Viseu Advogados. É formada pela Universidade Estadual de Ponta Grossa - UEPG, pós graduada em Direito Digital pela Escola Brasileia de Direito - EBD e em Direito Processual Civil pela Pontifica Universidade Católica de São Paulo – PUC/SP e certificada como DPO pela EXIN.