Arbitragem tributária avança no senado
A realização de auditorias prévias a uma operação de fusão e aquisição (M&A) já são uma prática conhecida no mercado.
Contudo, com a evolução da tecnologia e advento das leis sobre proteção de dados pessoais, uma nova categoria destas auditorias passa a ser procurada no mercado: a auditoria digital.
No caso de empresas que atuam no ramo de tecnologia, chegamos a identificar casos em que a própria atividade principal da empresa sofreu impactos e, praticamente, foi inviabilizada com o advento da LGPD (lei 13.709/2018).
Neste artigo, vamos abordar alguns pontos importante a serem observados em uma auditoria prévia:
1 – Viabilidade das atividades exercidas pela empresa
O primeiro passo é verificar se as atividades exercidas pelas empresas estão em conformidade com a legislação sobre proteção de dados pessoais. A análise deverá considerar a forma como os dados são coletados, a base legal que fundamenta o tratamento destes dados, o prazo de armazenamento e descarte dos dados, dentre outros aspectos relevantes do tratamento.
Por exemplo, ao auditar uma atividade, é comum identificar que o processo de coleta e armazenamento de dados pessoais não é claro. Isto pode ocasionar o “envenenamento” de uma base de dados, causando transtornos à empresa adquirente, já que ela pode ter dificuldade em identificar quais dados pode seguir tratando e quais devem ser descartados.
Para começar esta análise, uma boa estratégia é verificar o Registro de Atividades de Tratamento (RAT) da empresa target. Este documento é obrigatório para todas as empresas nos termos da LGPD e provavelmente servirá como ponto de partida da auditoria.
2 – Riscos relacionados a tratamentos anteriores de dados pessoais
Ainda que após a conclusão do M&A a empresa adquirente ajuste as atividades da empresa target para que sejam executadas de acordo com a legislação sobre proteção de dados pessoais, ainda subsistirá o risco de condenações por tratamentos de dados pessoais ilegais realizados no passado.
Neste ponto, aplica-se a mesma lógica aplicável, para riscos trabalhistas, tributários etc. É preciso observar as atividades realizadas anteriormente e os prazos prescricionais e decadenciais para entender os possíveis riscos relacionados.
3 – Estratégica sistêmica a ser adotada na empresa
Após a realização de um M&A, é comum que a empresa adquirente busque uniformizar alguns procedimentos e, eventualmente, até concentrar atividades em determinados sistemas corporativos.
Neste processo, algumas dificuldades sistêmicas podem surgir devido a incompatibilidade entre dois softwares distintos por exemplo.
Este tipo de situação faz com que as empresas passem a conviver com uma multiplicidade cada vez maior de sistemas e a “colecionar” sistemas legados em sua infraestrutura. Isto pode causar uma dificuldade para a equipe de Segurança da Informação em manter estes sistemas e base de dados seguros.
Tendo em vista que a própria Lei Geral de Proteção de Dados Pessoais prevê o princípio da segurança, é indispensável considerar este aspecto durante uma auditoria.
4 – Identificação do investimento necessário adequar a empresa target à legislação sobre proteção de dados pessoais e às boas práticas de segurança da informação
Por fim, após uma vasta análise sobre as atividades de tratamento de dados pessoais realizadas pela empresa target e sobre os mecanismos de segurança da informação adotados ou não pela empresa, teremos uma boa noção do cenário atual da empresa target em termos de proteção de dados pessoais.
A empresa adquirente poderá, então, estimar o custo necessário para adequar as atividades da empresa target e, com isto, ter uma melhor ideia do valor a ser investido após a conclusão do M&A para deixar a empresa em conformidade com a legislação sobre proteção de dados pessoais.
Em todo caso, a realização de auditorias antes de realizar uma operação de M&A permanece sendo a melhor forma de identificar e gerenciar riscos pelas empresas envolvidas. O resultado pode trazer vantagens negociais para as empresas, além de permitir uma organização financeira mais condizente com a realidade da empresa target.
