Proteção de Dados Pessoais: pontos indispensáveis em uma auditoria

  • 30 maio, 2022 - Artigos

A realização de auditorias prévias a uma operação de fusão e aquisição (M&A) já são uma prática conhecida no mercado.

Contudo, com a evolução da tecnologia e advento das leis sobre proteção de dados pessoais, uma nova categoria destas auditorias passa a ser procurada no mercado: a auditoria digital.

No caso de empresas que atuam no ramo de tecnologia, chegamos a identificar casos em que a própria atividade principal da empresa sofreu impactos e, praticamente, foi inviabilizada com o advento da LGPD (lei 13.709/2018).

Neste artigo, vamos abordar alguns pontos importante a serem observados em uma auditoria prévia:

1 – Viabilidade das atividades exercidas pela empresa

O primeiro passo é verificar se as atividades exercidas pelas empresas estão em conformidade com a legislação sobre proteção de dados pessoais. A análise deverá considerar a forma como os dados são coletados, a base legal que fundamenta o tratamento destes dados, o prazo de armazenamento e descarte dos dados, dentre outros aspectos relevantes do tratamento.

Por exemplo, ao auditar uma atividade, é comum identificar que o processo de coleta e armazenamento de dados pessoais não é claro. Isto pode ocasionar o “envenenamento” de uma base de dados, causando transtornos à empresa adquirente, já que ela pode ter dificuldade em identificar quais dados pode seguir tratando e quais devem ser descartados.

Para começar esta análise, uma boa estratégia é verificar o Registro de Atividades de Tratamento (RAT) da empresa target. Este documento é obrigatório para todas as empresas nos termos da LGPD e provavelmente servirá como ponto de partida da auditoria.

2 – Riscos relacionados a tratamentos anteriores de dados pessoais

Ainda que após a conclusão do M&A a empresa adquirente ajuste as atividades da empresa target para que sejam executadas de acordo com a legislação sobre proteção de dados pessoais, ainda subsistirá o risco de condenações por tratamentos de dados pessoais ilegais realizados no passado.

Neste ponto, aplica-se a mesma lógica aplicável, para riscos trabalhistas, tributários etc. É preciso observar as atividades realizadas anteriormente e os prazos prescricionais e decadenciais para entender os possíveis riscos relacionados.

3 – Estratégica sistêmica a ser adotada na empresa

Após a realização de um M&A, é comum que a empresa adquirente busque uniformizar alguns procedimentos e, eventualmente, até concentrar atividades em determinados sistemas corporativos.

Neste processo, algumas dificuldades sistêmicas podem surgir devido a incompatibilidade entre dois softwares distintos por exemplo.

Este tipo de situação faz com que as empresas passem a conviver com uma multiplicidade cada vez maior de sistemas e a “colecionar” sistemas legados em sua infraestrutura. Isto pode causar uma dificuldade para a equipe de Segurança da Informação em manter estes sistemas e base de dados seguros. 

Tendo em vista que a própria Lei Geral de Proteção de Dados Pessoais prevê o princípio da segurança, é indispensável considerar este aspecto durante uma auditoria.  

4 – Identificação do investimento necessário adequar a empresa target à legislação sobre proteção de dados pessoais e às boas práticas de segurança da informação

Por fim, após uma vasta análise sobre as atividades de tratamento de dados pessoais realizadas pela empresa target e sobre os mecanismos de segurança da informação adotados ou não pela empresa, teremos uma boa noção do cenário atual da empresa target em termos de proteção de dados pessoais.

A empresa adquirente poderá, então, estimar o custo necessário para adequar as atividades da empresa target e, com isto, ter uma melhor ideia do valor a ser investido após a conclusão do M&A para deixar a empresa em conformidade com a legislação sobre proteção de dados pessoais.

Em todo caso, a realização de auditorias antes de realizar uma operação de M&A permanece sendo a melhor forma de identificar e gerenciar riscos pelas empresas envolvidas. O resultado pode trazer vantagens negociais para as empresas, além de permitir uma organização financeira mais condizente com a realidade da empresa target.

 



Voltar à página anterior

Cadastre-se em nossa Newsletter