Proteção de dados: os cuidados da due diligence em operações de M&A

Processo garante a visibilidade do investimento e os esforços necessários para a adequação da empresa-alvo às normas de proteção de dados/Canva
Processo garante a visibilidade do investimento e os esforços necessários para a adequação da empresa-alvo às normas de proteção de dados/Canva
É necessário avaliar a conformidade do uso de dados pessoais frente à LGPD.
Fecha de publicación: 09/05/2022

Compreender o valor econômico dos ativos de dados nunca foi tão importante. Atualmente, aproximadamente 90% do valor de mercado do S&P 500 (índice do mercado de ações que acompanha o desempenho de 500 grandes empresas listadas nas bolsas de valores dos Estados Unidos) é composto por ativos intangíveis (direitos de propriedade intelectual, reputação e dados).

Como qualquer ativo, os dados (pessoais ou não) de uma empresa têm valor substancial e fornecem informações diretas sobre a saúde do negócio, como esforço e investimento necessários para fusões e aquisições de sucesso, bem como nível de exposição a fatores de risco que podem influenciar a decisão de um adquirente.

Nessa linha, é comum que operações de fusões e aquisições realizem as chamadas due diligence, que consiste em avaliação abrangente do negócio por potencial investidor para chegar à decisão final de investimento. O processo inclui análise dos ativos e passivos, estrutura, operações, sistemas e principais relacionamentos com clientes e negócios para permitir a avaliação de valor e potencial comercial de um empreendimento.


Leia também: Como lidar com as incertezas em um acordo de M&A?


Com o aumento do risco regulatório envolvendo o uso de dados pessoais, esses processos de due diligence passaram a contar com análise cada vez mais aprofundada sobre o tema, a fim de mitigar riscos que vão desde a coleta de dados de fontes não idôneas a modelos de negócio sujeitos a escrutínio maior de órgãos reguladores.

A ausência desse tipo de diligência tem gerado notórios prejuízos aos acionistas e investidores, como visto nos casos da Uber, Verizon e Marriot. Para a Uber, por exemplo, a redução do valuation foi de US$ 20 bilhões. A empresa divulgou que uma violação havia exposto as informações privadas de 57 milhões de clientes. No momento em que o incidente foi anunciado, a empresa estava negociando com o Softbank para vender participação. Inicialmente, a avaliação por esse negócio da Uber foi de US$ 68 bilhões, mas, no fechamento do acordo, sofreu redução para US$ 48 bilhões.

Situação semelhante ocorreu com a Verizon, que sofreu perda de US$ 350 milhões do valor original de compra do Yahoo depois que a adquirente descobriu as violações de dados da empresa adquirida.

No caso da Marriot, a autoridade de proteção de dados do Reino Unido (ICO) apresentou em 2019 intenção de multa de US$ 119 milhões à empresa por causa de incidente de segurança de dados da Starwood, adquirida em 2016. Em novembro de 2018, a própria Marriot identificou o incidente ocorrido na Starwood e acionou a ICO, atendendo dessa forma às exigências do GDPR (regulamento europeu de proteção de dados).

Um processo de diligência de dados deve abordar questões como:

Avaliação dos dados: Como os dados contribuem para a eficiência dos negócios e a criação de receita? Qual é a base de custo dos dados e o valor de mercado potencial?

Sinergia: Até que ponto função, arquitetura e cultura de gerenciamento de dados da empresa adquirida se integrarão às da adquirente?

Oportunidades: Quais são as formas inovadoras de gerar valor, ou monetizar, os ativos de dados da empresa, por conta própria ou quando combinados com os de empresas do portfólio ou parceiros de negócios?

Riscos: Há problemas de qualidade ou consistência nos dados? Quais são os requisitos regulatórios ou de conformidade a serem observados?

Desafios: Quais serão os desafios na integração ou alavancagem dos ativos de dados adquiridos? Ou na integração das funções de gerenciamento ou análise de dados dos dois negócios que estão sendo fundidos?

Dados Pessoais

Em recente pesquisa, foram ouvidos 539 executivos envolvidos em operações de M&A, que ressaltaram suas preocupações com o tema privacidade nessas transações: 56% dos entrevistados revelaram já ter passado por uma operação de M&A que não progrediu por problemas relacionados à privacidade e proteção de dados; 65% acreditam que, nos próximos cinco anos, o GDPR exigirá análises mais profundas de políticas e processos de privacidade das empresas targets; e 33% dos entrevistados apontaram para o aumento do risco regulatório de privacidade.

Tradicionalmente, as due diligences em proteção de dados focam apenas em vazamento de dados conhecidos, processos judiciais ou administrativos e fiscalizações. Contudo, para além dessas análises superficiais, a avaliação detalhada das atividades de tratamento de dados (viabilidade regulatória dos produtos ou serviços), os procedimentos que garantam transparência e confiança com os titulares, bem como a existência e efetividade do Programa de Privacidade, também merecem atenção.

Especificamente no contexto de proteção de dados pessoais, um processo de due diligence deve avaliar:

Uso de dados pessoais: Entendimento dos principais usos de dados pessoais pela organização, avaliando a conformidade dessas atividades frente à LGPD.

Contratos, termos e acordos: Avaliação de contratos, termos de uso e acordos que envolvam determinações relacionadas ao tratamento de dados pessoais.

Bases legais: Avaliação das melhores bases legais, incluindo o amparo legal para bases de dados legados, cujos dados foram coletados antes da LGPD.

Histórico: Levantamento de incidentes envolvendo dados pessoais, além de investigações e ações relacionadas ao tema.

Accountability (ou prestação de contas): Identificação dos mecanismos existentes para evidenciar aqueles adotados no programa de privacidade.

Responsabilidades: Definição da posição de controlador ou operador para as principais atividades de tratamento, identificando a responsabilidade para cada caso.

Compartilhamento: Como os dados da empresa adquirida poderão ser utilizados ou compartilhados pela organização adquirente ou, até mesmo, compartilhados entre empresas do grupo.


Veja também: A proteção de dados pessoais como direito fundamental no Brasil


Demais dados

Para além da análise dos riscos relativos à privacidade e proteção de dados pessoais, avaliar também o valor e a integridade de todos os dados em um processo de due diligence pode revelar:

A saúde da base de clientes: Entradas de clientes duplicadas ou incompletas podem reduzir significativamente a validade dos registros de clientes e inibir a capacidade de desenvolver compreensão confiável dos comportamentos dos clientes, oportunidades potenciais e projeções.

O investimento necessário para mesclar ou migrar dados entre empresas: Os sistemas de informação existentes, licenciamento e usabilidade são frequentemente considerados, mas extrair, mapear e quantificar a qualidade dos dados dentro dos sistemas não. As práticas de gerenciamento de dados em vigor podem ajudar a determinar se as informações são confiáveis, precisas ou abrangentes. Mais importante, elas podem ajudar a identificar o custo potencial de correção, transformação, migração ou nova coleta de dados.

Propriedade de dados: Algumas empresas dependem muito de dados de terceiros para executar suas operações, portanto, é indispensável entender como os acordos existentes (como licenciamento, contratos, memorandos de entendimento e acordos de compartilhamento) serão afetados pela fusão ou aquisição. É necessário considerar como a propriedade pode impactar as avaliações de dados.

Recursos de análise: A capacidade de agregar e de analisar dados para atender aos requisitos de negócios (ou seja, relatórios regulatórios, relatórios do conselho, relatórios clínicos) em tempo hábil pode validar a robustez das práticas de manuseio de dados e a qualidade dos dados sob gerenciamento. Isso também fornece informações sobre a cultura de dados da organização, os níveis de alfabetização, as práticas de governança e a adequação das arquiteturas de dados em vigor.

Integridade dos dados: A integridade dos dados é um indicador importante de valor, abrangendo a capacidade de recuperação e rastreabilidade ao longo do tempo, bem como levando a uma situação de maior estabilidade e desempenho, ao mesmo tempo em que aumenta o potencial de reutilização dos dados. Portanto, é importante entender como confiabilidade, precisão, validade e segurança dos dados foram mantidas em escala ao longo do seu ciclo de vida.

Valor dos dados: A maioria das organizações mantém os dados fora do balanço, mas há um impulso crescente para valorizá-los por suas qualidades econômicas únicas, como capacidade de estabelecer vantagem competitiva, potencial de reutilização, uso simultâneo ou oportunidades de monetização. Compreender como os dados contribuem para a receita (ou diminuem receita) deve ser considerado na decisão de investimento.

Em linhas gerais, se o objetivo do processo de due diligence é validar a veracidade de qualquer informação apresentada e garantir que a decisão tomada em relação a uma fusão ou aquisição seja informada, é fundamental incluir nesse processo análise aprofundada sobre seus ativos de dados. A realização de uma due diligence especializada no tema irá identificar contingências, apontar impactos no valuation e orientar a estruturação de cláusulas de reps and warranties nos contratos da operação.

Além disso, o processo garantirá a visibilidade do investimento e os esforços necessários, após a operação, para adequação da empresa-alvo às normas nacionais e internacionais de proteção de dados pessoais, assegurando a viabilidade regulatória dos produtos e serviços da empresa-alvo e auxiliando na estratégia e no processo de integração com a empresa adquirente.

*Henrique Fabretti Moraes e Giovana Figueiredo Peluso Lopes são, respectivamente, sócio e pesquisadora de Legal Research, do Opice Blum, Bruno e Vainzof Advogados Associados.

Add new comment

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.