M&A e LGPD: o que muda nas operações de fusão e aquisição com a Lei Geral de Proteção de Dados Pessoais?

Ao longo da existência da empresa é possível que ela passe por alguma(s) operação(ões) de fusão ou aquisição, também conhecidas no mercado como operação de M&A (Mergers and Acquisitions). Dentre as diversas análises que são realizadas para a decisão quanto à transação, é usual que as empresas realizem uma avaliação, pela potencial adquirente, do nível de conformidade da empresa-alvo à legislação aplicável, inclusive a Lei 13.709/2019 – Lei Geral de Proteção de Dados Pessoais (LGPD).

Assim, na fase em que a potencial adquirente realiza a Due Diligence, ou seja, a diligência prévia para entender o estado em que a empresa-alvo se encontra, ela deve considerar, além dos documentos analisados costumeiramente, a análise de documentos específicos em relação à LGPD, como por exemplo, a análise de contratos que envolvam compartilhamento de dados pessoais, o mapeamento de processos de tratamento de dados pessoais, aspectos técnicos e de governança relacionados à adequação à LGPD para entender o nível de maturidade em que a empresa-alvo se encontra.

A Due Diligence é um procedimento de investigação de riscos e oportunidades para a tomada de decisão mais consciente. Ela muitas vezes é encarada como um tipo de auditoria, ou verificação de conformidade. Com esse procedimento a potencial adquirente consegue ter mais informações sobre a empresa a ser adquirida até mesmo para realizar uma precificação mais efetiva.

Procedimento de Due Diligence 

O procedimento de Due Diligence geralmente acontece com o compartilhamento de documentos pela empresa-alvo, para que a potencial adquirente consiga ter mais informações e visibilidade do negócio.

A LGPD começa então a impactar o procedimento desde o citado compartilhamento, pois é importante que, no que se refere a dados pessoais, seja compartilhado o mínimo necessário para a finalidade pretendida, evitando ainda o compartilhamento de dados pessoais sensíveis. Além disso, como já acontecia nas operações, é importante a celebração de um Acordo de Confidencialidade para que as informações acessadas não sejam reveladas.  É importante atentar ainda à forma que as informações e documentos serão compartilhados, para que o compartilhamento se dê através de ferramentas seguras, com acesso apenas a pessoas autorizadas.

Recomenda-se que a Due Diligence envolva a análise de políticas, procedimentos, processos de tratamento de dados pessoais, aspectos técnicos e de governança da empresa, tendo em vista que quanto menor o nível de maturidade da empresa-alvo em relação à proteção de dados pessoais, maior será o custo de implementação e o risco de incidentes, reclamações, fiscalizações e/ou processos judiciais.

Outro ponto de extrema relevância é a análise das bases legais atribuídas aos tratamentos de dados pessoais realizados pela empresa-alvo, tendo em vista que os tratamentos precisam estar amparados em hipóteses autorizativas e a ausência de uma hipótese que autorize algum tipo de tratamento pode afetar até mesmo o objetivo que a potencial adquirente tem na transação.

Logo, nesta etapa é importante atentar principalmente aos seguintes pontos:

• Se a empresa-alvo possui políticas e procedimentos que regulamentem o tratamento de dados pessoais;
• Se a empresa-alvo possui um mapeamento dos dados pessoais tratados pelas áreas;
• Se os tratamentos estão amparados nas hipóteses autorizativas previstas na LGPD;
• Se a empresa-alvo realizou a fase de diagnóstico para identificação dos gaps em relação à LGPD;
• Se os contratos da empresa-alvo com terceiros possuem cláusulas de proteção de dados pessoais;
• Se a empresa-alvo possui uma governança de privacidade estabelecida;
• Se a empresa-alvo possui medidas técnicas e administrativas adequadas ao tratamento dos dados pessoais;
• Se a empresa-alvo responde às solicitações dos titulares de dados pessoais.

A realização de operação de M&A com uma empresa com um baixo nível de maturidade em relação à LGPD levantará sinais vermelhos quanto à operação, trazendo a necessidade de que os riscos sejam avaliados e alocados corretamente.

Valuation

Valuation é a avaliação da empresa, ou seja, o processo de estimar o valor ou precificar uma empresa, onde se leva em consideração o valor de ativo e alguns outros aspectos, como por exemplo, as expectativas de aumento nos recebimentos futuros e as incertezas e riscos do negócio.

Logo, as questões inerentes à proteção de dados pessoais devem entrar na avaliação de precificação, tendo em vista que a conformidade com a LGPD possui um custo de adequação elevado, em razão das necessidades de alteração de procedimentos, adequação de documentos, estruturação de uma governança, aplicação de medidas administrativas, avaliação e implementação de medidas técnicas e de segurança da informação.

A estimativa do valor da empresa-alvo deve levar em conta ainda o cenário de incertezas quanto à jurisprudência brasileira e tendências à aplicação de multas, pois uma empresa em desconformidade com a lei pode trazer um grande risco de reclamação pelos titulares de dados, fiscalização por autoridades competentes e penalizações administrativas ou judiciais, o que deve ser avaliado pela potencial adquirente.

Além disso, deve-se verificar se a empresa-alvo possui algum histórico de incidentes de segurança da informação, tendo em vista que a empresa adquirente pode vir a ser responsabilizada no futuro por impactos causados por ele. Foi o que aconteceu, por exemplo, com a rede de hotéis Marriott que foi responsabilizada por incidentes ocorridos antes da aquisição de outra empresa, tendo a decisão da autoridade justificado que não teria sido realizada uma análise suficiente a identificar o incidente e adotar medidas para mitigá-lo.

Decisões Estratégicas

Diante das citadas avaliações, torna-se necessário tomar uma série de decisões sobre a viabilidade da transação pretendida. Assim, a empresa adquirente deve levar em conta o esforço e custo de implementação em empresas com baixa maturidade, os riscos existentes quanto às penalizações e a viabilidade da continuidade do negócio diante das hipóteses autorizativas previstas nos artigos 7º e 11 da LGPD e os tratamentos realizados.

As decisões precisam ser estratégicas e voltadas para uma correta alocação de riscos, inclusive dentro do contrato da operação, e estimativa de valores que levem em conta esses fatores.

Dessa forma, fica claro que as operações de M&A agora trazem aspectos ainda mais complexos a serem avaliados, que vão além de um simples checklist de conformidade. Por isso, é importante contar com profissionais que sejam especializados em proteção de dados pessoais, para que sejam analisados aspectos além do direito societário, mas que impactarão fortemente a transação pretendida.