Operações de Fusões e Aquisições e a Lei Geral de Proteção de Dados Pessoais

Fusões e aquisições (M&A) envolvendo entidades que tratam dados pessoais, sujeitos à Lei Geral de Proteção de Dados Pessoais (LGPD), deverão sofrer mudanças quando a lei entrar em vigor. A LGPD impactará todos aqueles envolvidos na operação: a condução de auditorias legais (due diligence), a estruturação do negócio e a negociação dos documentos da operação.

Quando a sociedade-alvo trata dados pessoais sujeitos à LGPD, o vendedor, como controlador de dados, deve implementar medidas que assegurem a conformidade da operação à LGPD. O vendedor deve definir os documentos e informações essenciais para avaliação dos negócios da sociedade-alvo e dispensar dados pessoais que não acrescentem valor ao negócio. As informações que não puderem ser disponibilizadas poderão simplesmente ser excluídas dos documentos ou resumidas de modo a não permitirem acesso aos dados pessoais. Providenciar a anonimização e a pseudonimização dos dados pessoais são alternativas adicionais para reduzir a exposição ao risco de violações à legislação.

Para que os dados pessoais sejam disponibilizados, a identificação da base legal para o tratamento é necessária para evitar violações à lei, seja pelo vendedor ou por aqueles com acesso aos dados. Os procedimentos para a transferência internacional de dados devem ser cuidadosamente avaliados, no contexto de uma eventual operação cross-border.

Os envolvidos na operação, sejam potenciais compradores, prestadores de serviços de VDR (virtual data room) ou intermediários, devem se certificar de que seu acesso aos dados pessoais é realizado em conformidade com a lei, visto que eles também serão considerados controladores e estarão sujeitos às responsabilidades decorrentes de violações à norma.

Uma das alternativas para esses terceiros é a realização de uma verificação inicial para averiguar se o vendedor implementou todos os procedimentos necessários para a transferência dos dados pessoais em conformidade com a lei. Outra alternativa é negociar declarações contratuais do vendedor em que este afirme que tomou medidas adequadas à proteção de dados antes do acesso aos dados, de maneira a mitigar a responsabilidade daqueles que tiverem acesso aos dados e lhes atribuir direito contratual de indenização em caso de descumprimento pelo vendedor. Terceiros também terão que ter sua própria governança para estar em conformidade com a LGPD (ou outra lei de proteção de dados no caso de operações cross-border), uma vez que sua violação pode levar à responsabilidade solidária com o vendedor.

A LGPD também impactará o processo de due diligence. Falhas da sociedade-alvo em estabelecer uma governança efetiva de proteção de dados pode gerar contingências que a sujeitem a responsabilidade civil e sanções administrativas. A seguir, alguns exemplos de informações relevantes para o processo de auditoria:

(i) se a sociedade-alvo possui uma política de proteção de dados pessoais e tem uma base legal que justifique o tratamento de cada série de dados pessoais;
(ii) se essas regras são eficazes (e.g., se há canais confiáveis para denúncias);
(iii) se já houve algum incidente envolvendo violação de dados;
(iv) se a sociedade-alvo indicou algum encarregado pelo tratamento dos dados (DPO);
(v) se os contratos firmados pela sociedade-alvo possuem cláusulas de proteção de dados; e
(vi) se a sociedade-alvo utilizava algum software para garantir a proteção dos dados.

Desse modo, a auditoria abrangerá não apenas questões jurídicas, mas aspectos de tecnologia da informação. A disponibilização de informações deve alcançar um equilíbrio entre a proteção de dados e a necessidade de assegurar que potenciais compradores obtenham informações suficientes para avaliar a operação.

A LGPD pode afetar a estrutura da operação, seja envolvendo a alienação de participação societária ou de ativos. No primeiro caso, apenas a participação societária na sociedade-alvo será transferida e, provavelmente, não ocorrerá transferência de dados, i.e., os dados permanecerão na sociedade-alvo. Após o fechamento da operação, quando o tratamento de dados alterar as práticas de proteção de dados da sociedade-alvo, ou se qualquer reestruturação societária for implementada, uma nova verificação da base legal para o tratamento de dados deverá ser realizada.

No caso de uma transferência de ativos, quando tal transferência englobar dados pessoais, as partes deverão verificar a base legal para a transferência. Se a operação exigir o consentimento de um grande número de titulares de dados pessoais, as partes devem avaliar estruturá-la como uma operação de alienação de participação societária, para que a operação em si não seja prejudicada.

A documentação das operações de M&A também será impactada pela LGPD. Os contratos de aquisição (SPAs) provavelmente terão declarações e garantias específicas relativas à conformidade com as leis de proteção de dados às quais a sociedade-alvo estiver sujeita. Cláusulas de garantias e indenizações também podem ser implementadas para lidar com possíveis violações das leis de proteção de dados pela sociedade-alvo, seja antes ou depois do fechamento da operação. Dependendo da exposição da sociedade-alvo às responsabilidades decorrentes das regras de proteção de dados, ajustes do preço de aquisição e outras obrigações podem ser pactuados.

Outros contratos acessórios a serem firmados no contexto de uma operação de M&A também devem contemplar disposições de proteção de dados, principalmente nos casos em que uma das partes venha a prestar serviços à outra após o fechamento (e.g., contratos de prestação de serviços técnicos - TSAs).

A dispersão de leis de proteção de dados em todo o mundo (incluindo o Brasil) demonstra a intenção dos governos de proteger a privacidade dos indivíduos, mas elas não são editadas para impor ônus excessivo sobre investimentos e operações.

Os diversos agentes participantes de operações de M&A deverão elaborar estratégias de negócio que não prejudiquem a privacidade dos indivíduos. Embora alguns custos de transação provavelmente aumentem, assegurar a conformidade com a legislação em todas as fases do M&A facilitará a negociação e um resultado favorável da operação, reduzindo os riscos e assegurando proteção à privacidade aos titulares de dados pessoais. 

Arquivo PDF

Autores L&S

Daniel Tardelli Pessoa

Daniel Tardelli Pessoa

Outras edições

Política restritiva sobre rankings

Não participamos de ou damos informações a publicações classificadoras de escritórios de advocacia (rankings) com uso de informações confidenciais de clientes. Também não pagamos por espaço editorial ou publicitário. Isso pode levar a omissão ou distorção de informações relativas a nossas atividades em tais publicações. Assim, a visita a nosso site é a maneira mais adequada de conhecer nossas atividades.
developed by asteria.com.br designed by pregodesign.com.br
^