A Lei Geral de Proteção de Dados (LGPD) tem forçado as empresas a reverem seus processos. Hoje, o foco das discussões é a adequação à lei e as sanções em decorrência de descumprimentos, mas um assunto que poucos têm dado atenção são os cuidados em cenários de fusão ou aquisição de empresas.
Para os especialistas, a identificação dos potenciais riscos envolvendo a LGPD é primordial. A due diligence, que antecede esse tipo de transação ao levantar e auditar informações técnicas, contábeis, fiscais, financeiras e jurídicas da empresa-alvo precisa incluir, no aspecto jurídico, a adequação à LGPD. Isso porque o objetivo da due diligence é determinar os riscos da atividade empresarial que a companhia-alvo desenvolve.
Leia também: LGPD no mercado financeiro: por quanto tempo os dados devem ficar armazenados?
Entender, por exemplo, se a empresa já passou por algum tipo de incidente de segurança, como lidou quando isso aconteceu, quais são as suas fragilidades, se possui um framework em operação para proteger dados pessoais, dentre outros, são cuidados altamente recomendáveis, de acordo com advogados da área.
"As já habituais due diligences que antecedem um processo de M&A passaram a contar com um capítulo dedicado exclusivamente à análise sobre as práticas de tratamentos de dados pessoais e conformidade com a LGPD da empresa target”, afirma Iara Peixoto Melo, coordenadora da área de proteção de dados e privacidade do Chenut Oliveira Santiago Advogados.
“De fato, é extremamente importante que esta análise seja realizada e que eventuais pontos de inconformidade sejam identificados antes da transação. Existem casos em que a própria atividade core da empresa pode vir a ser questionada após a entrada em vigor da LGPD. Isto acontece, por exemplo, com empresas que têm como atividade principal o tratamento de dados pessoais sem que sejam respeitados os princípios da LGPD", diz a especialista.
Para Suzana Castelnau, sócia do escritório Donelli e Abreu Sodré Advogados (DSA ), na due diligence há uma troca de documentos e informações bastante relevante entre as partes. Assim, o comprador que receberá as informações precisa cumprir com a legislação de LGPD para o tratamento dos dados e também tem interesse de que a empresa alvo cumpra com a legislação para que isso não seja um passivo na aquisição da sociedade. “O descumprimento da LGPD poderia gerar indenização de uma parte para a outra, pois a LGPD dispõe que a responsabilidade é tanto da sociedade que compartilha os dados como da sociedade que os recebe, caso não garanta a sua segurança", analisa.
Esse é um ponto a ser considerado nas transações e que reforça a necessidade de as empresas se adequarem à LGPD. “Não é de se duvidar que a Autoridade Nacional de Proteção de Dados (ANPD) passe a ter um olhar mais firme sobre essas transações, já que elas vêm crescendo nos últimos meses e, consequentemente, passe a ter uma atuação mais forte também”, explica Caroline Leite Barreto Dinucci, advogada do Barreto Dinucci Advocacia.
Comprador e vendedor: o que fazer?
Os especialistas explicam que o comprador deve solicitar ao vendedor que demonstre ter dado ciência aos titulares de dados de que suas informações podem ser compartilhadas em caso de negociação da empresa objeto da operação. Em regra, esta previsão de compartilhamento é incluída nas políticas de privacidade de dados.
É preciso ainda incluir na due diligence capítulo específico de auditoria das questões relativas à proteção de dados e verificar se a empresa objeto da operação está em conformidade com a LGPD. Entre as principais questões, se há políticas de privacidade de dados, de segurança dos dados definidas e divulgadas e se os funcionários são treinados e há reciclagem de treinamento.
Veja também: LGPD e os cuidados na coleta de dados de vacinação de funcionários
Além disso, é preciso analisar se os contratos celebrados pela empresa objeto da operação, com seus clientes, fornecedores, empregados e terceiros em geral estão em conformidade com a lei e suas políticas internas, verificando responsabilidades e penalidades envolvidas em caso de descumprimento da lei e do contrato e disposições sobre incidentes de segurança.
Outro ponto é se há demandas (esferas administrativa e/ou judicial e/ou policial) contra a empresa objeto da operação em curso, ou se há riscos de demandas e riscos envolvidos. E também se há relatórios de auditoria dos sistemas de TI envolvidos no processo de tratamento dos dados pessoais para avaliação de segurança e da possibilidade de rastreamento e ou eliminação dos dados tratados. Quando for o caso, avaliar ainda se nos contratos celebrados há previsão a quem pertence a base de dados pessoais. Por último, é importante incluir no contrato a ser celebrado entre as partes garantias relativas às questões de proteção de dados e, se for o caso, indenizações relativas a tais questões.
Já o vendedor deve verificar se foi dada ciência aos titulares de dados de que suas informações poderiam ser compartilhadas em caso de negociação da empresa objeto da operação. No caso de não ter sido feito, é preciso tomar as providências necessárias para poder compartilhar os dados com o comprador.
“O vendedor deve estar preparado para a auditoria do comprador, especialmente se a atividade desenvolvida pela empresa objeto da operação envolver especificamente o tratamento de dados pessoais (por exemplo, se se trata de aplicativo de saúde, transporte, comércio eletrônico, etc). Assim, deve estar em conformidade com a LGPD. No caso de demandas em curso, ter certidões ou relatórios atualizados para apresentação. Deve avaliar de antemão os riscos envolvidos nas questões relativas a dados pessoais existentes, para poder negociar eventuais demandas de garantias e indenizações propostas pelo comprador”, afirma Maria Cibele Crepaldi Affonso dos Santos, sócia gestora do Costa Tavares Paes Advogados .
Para os especialistas, operações de grande vulto têm maiores chances de entrarem no radar das autoridades. Por isso, considerar os regramentos setoriais e checar se já há políticas de proteção de dados implementadas na empresa-alvo são bons pontos de partida. Vale lembrar que a fusão de empresas geralmente é acompanhada da fusão de base de dados, o que exige avaliar bases legais para os tratamentos dos dados.
“A fusão de empresas é uma estratégia que pode impulsionar o crescimento de organizações, mas a LGPD quebrou paradigmas que exigem uma reavaliação das boas práticas como, por exemplo, se estão adequadas às operações que envolvem os dados dos clientes, parceiros e colaboradores”, avalia Caroline Dinucci.
Em casos de descumprimento da LGPD, o empreendedor estará diante de um cenário que inclui punições que vão desde advertências a multas que chegam a 2% do faturamento, limitadas a R$ 50 milhões por infração, além de suspensão parcial do funcionamento do banco de dados ou a proibição definitiva de atividades relacionadas ao tratamento de dados pessoais.
“Ninguém compra uma empresa ou se funde a outra para comprometer sua própria reputação e se colocar em situação menos favorável perante o público consumidor. Em um contexto de transformação digital, os dados ganham uma importância especial. Sendo assim, até mesmo nesse momento, é preciso zelar pela proteção de dados e privacidade, principalmente no atual panorama estabelecido pela LGPD”, conclui a especialista.
Mais sobre o assunto: O passo a passo para PMEs se adequarem à LGPD
Add new comment