A LGPD nas operações de M&A

Operações de M&A que envolvam entidades que tratam dados pessoais sofrerão impactos significativos em todas as fases do processo

A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, que estava prevista para entrar em vigor em agosto deste ano, teve seu período de vacatio legis estendido para 03 de maio de 2021, de acordo com a Medida Provisória 959/2020. Essa data ainda pode ser alterada, a depender do trâmite da própria MP.

A LGPD estabelece mecanismos para assegurar o direito à privacidade e à proteção de dados pessoais, por meio de práticas transparentes e seguras, garantindo os direitos fundamentais previstos em nossa Constituição.

Segundo a LGPD, os dados pessoais são todas as informações relacionadas a pessoas naturais identificadas ou identificáveis. E podem incluir, dentre outros, números de identificação, informações de cadastro e números de IP.

Entre os dados pessoais, existe a categoria de dados pessoais sensíveis, sujeitos, ainda, a maior proteção legal, uma vez que o seu uso indevido pode levar a situações de discriminação do titular. Incluem-se nos dados pessoais sensíveis, dentre outros, informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados referentes a saúde ou à vida sexual, bem como dados biométricos.

Não obstante a incerteza sobre a data de eficácia da LGPD, ressaltamos a importância, no âmbito das operações de fusões e aquisições (M&A) da observância dessa norma pelos players de mercado, e, em especial pela empresa objeto do M&A (Target).

A falta de um projeto de adequação ou de um programa de privacidade ou inexistência de indícios de que esse projeto e/ou programa estejam sendo desenvolvidos pela Target, pode acabar inviabilizando a operação de M&A, uma vez que, além de um enorme dano reputacional, a empresa infratora, estará sujeita às penalidades previstas na LGPD – que incluem, dentre outras, multas que podem chegar a 2% do faturamento do grupo no Brasil.

Operações de M&A que envolvam entidades que tratam dados pessoais (ou seja, em princípio qualquer sociedade, não importando o seu objeto social) sofrerão impactos significativos em todas as fases do processo, em especial nas fases de auditoria legal e elaboração dos contratos de M&A. Sem dúvida, em empresas que lidam diretamente com o consumidor, as preocupações são ainda maiores do que em empresas que lidam apenas com outros players da indústria (B2B), uma vez que a quantidade de dados pessoais tratados tende a ser bem maior.

Ainda assim, as empresas B2B também tratam dados pessoais de seus funcionários, clientes e fornecedores e devem se adequar à LGDP.

Durante o processo de M&A, a potencial compradora, na qualidade de operadora, nos termos da LGPD, poderá tratar dados pessoais da Target, especialmente na fase da auditoria legal, para fins de tomada da decisão sobre a realização da operação.

Dessa forma, é essencial que as partes definam a base legal para o tratamento dos dados, bem como regulem, dentro dos acordos preliminares à operação, as obrigações, responsabilidade e direitos de cada uma delas, na qualidade de controladora e operadora desses dados pessoais.

Os procedimentos de transferência internacional de dados devem ser minuciosamente avaliados no que diz respeito às operações que ultrapassem as fronteiras do Brasil.

Como forma adicional de precaução, a Target e/ou a potencial vendedora devem divulgar apenas os dados pessoais essenciais para avaliação da operação, e sempre que possível, anonimizar esses dados antes da divulgação.

Durante a auditoria, a potencial compradora deverá inicialmente definir o escopo de sua análise no que tange à privacidade. Uma auditoria completa de dados pessoais irá necessariamente envolver outras áreas além da jurídica e pode implicar em um aumento do prazo e do custo total do projeto, tornando a operação de M&A inviável (especialmente quando a operação envolver valores baixos ou tiver startups como Targets).

Dessa forma, em alguns casos a potencial compradora poderá optar por realizar uma auditoria de dados pessoais de escopo limitado e complementar essa auditoria, adequando o programa de privacidade da Target ao seu, após o fechamento da operação.

Na fase de negociação dos contratos e documentos auxiliares da operação, as partes deverão se atentar à redação das cláusulas, em especial às declarações e garantias, para regular questões de privacidade, determinando as responsabilidades no que concerne às eventuais contingências relativas ao uso indevido de dados pessoais antes e após o fechamento da operação.

Finalmente, torna-se central analisarmos a questão de dados pessoais sob o prisma de eventuais vazamentos que podem ocorrer durante a negociação de uma operação de M&A. Esses incidentes de segurança podem acarretar danos relevante aos titulares dos dados, com consequências legais a todos os envolvidos. Desta forma, recomenda-se que o tratamento dos dados pessoais em todas as fases da operação siga criteriosamente as exigências da LGPD já que todas as partes envolvidas na operação podem ser responsabilizadas.

Em decorrência do acima, questões relacionadas à proteção de dados pessoais devem ser, desde já analisadas e observadas por todas as partes envolvidas na operação de forma a reduzir riscos decorrentes de um uso não autorizado de dados ou ainda de um eventual incidente de segurança.

Tania Liberman e Amanda Eulálio são, respectivamente, especialista da área de M&A e Proteção de Dados do KLA Advogados e especialista da área de M&A no mesmo escritório.

Fonte: Valor Econômico – 16/07/2020
Por Tania Liberman e Amanda Eulálio

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *