Lexis 360 – M&A – Regulatório
21.08.2018
Desconformidade com novo arcabouço legal sobre o tema pode ser fatal para os negócios
Por – Alessandra Fortes Lobo
Até recentemente, a preocupação com a proteção de dados pessoais e a avaliação das políticas e mecanismos de proteção desses dados mal chegava a figurar nos relatórios de auditoria que antecipavam operações de fusões e aquisições (M&A). No cenário atual, o surgimento de um arcabouço legal rigoroso para a proteção de dados pessoais tornou o cuidado com o tratamento dessas informações um elemento fundamental para a estimativa do risco envolvido em M&As.
No Brasil, existem diversas leis esparsas que estabelecem obrigações quanto à proteção de dados pessoais, tal como o Marco Civil da Internet. Porém, a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018), sancionada com alguns vetos em 15 de agosto deste ano, trará para as empresas obrigações ainda mais rigorosas quando entrar em vigor, em fevereiro de 2020. Além de estarem submetidas às leis brasileiras, muitas empresas nacionais – ainda que não o saibam – também estão sujeitas ao novo regulamento europeu de proteção de dados, o General Data Protection Regulation (GDPR), que entrou em vigor em 25 de maio.
Como um dos principais pilares do GDPR é seu escopo extraterritorial, seus impactos não se restringem à União Europeia. Consequência direta disso é que empresas brasileiras podem estar sujeitas ao GDPR, se: (i) coletarem, processarem, utilizarem ou armazenarem dados de pessoas localizadas na U.E.; (ii) contratarem empresas localizadas na U.E. para o tratamento de dados pessoais, ainda que esses dados não sejam de pessoas localizadas na U.E.; (iii) oferecerem produtos ou serviços para o mercado europeu, mesmo que gratuitamente; (iv) monitorarem dados de pessoas localizadas na U.E.; ou (v) mantiverem filiais, clientes, fornecedores ou parceiros na U.E. ou sujeitos ao GDPR (art. 3º).
Eventual desconformidade com esses regulamentos pode ser fatal para os negócios. Além de arriscar a aplicação de rigorosa penalidade financeira, que chegará 2% do faturamento anual global, limitado a R$50 milhões – valores que chegam a 20 milhões de euros ou a 4% do faturamento anual global, o que for maior, no caso de infração ao GDPR – a empresa que estiver em desconformidade também estará sujeita a sanções negociais imediatas, como a perda de contratos com parceiros e clientes, e ao implacável impacto reputacional.
Em vista disso, processos de M&A contarão com um rigoroso processo de auditoria para avaliar o risco envolvido e a própria estimativa do preço da operação. Esses cuidados, que devem ser imediatos para as operações envolvendo parte que esteja sujeita ao GDPR, e que sujeitarão todas as empresas brasileiras a partir do momento em que a LGPD entrar em vigor, incluirão a análise de cláusulas contratuais e a revisão dos contratos firmados sob a perspectiva da proteção de dados pessoais.
Uma auditoria eficiente deve incluir perguntas objetivas quanto à adequação das políticas de proteção de dados pessoais empregados pela vendedora aos regulamentos aplicáveis. Nessa linha, é importante questionar se a empresa obteve o consentimento adequado dos titulares para tratar seus dados e se esses dados são (ou podem ser) pseudoanonimizados ou anonimizados.
Também é importante avaliar se os mecanismos de segurança empregados são adequados. Nesse ponto, interessa saber como os dados são armazenados e protegidos e quais são os protocolos de segurança. Uma matriz de risco completa também investiga se a vendedora já esteve envolvida em episódios de violação de dados pessoais e quais medidas adotou para lidar com o problema.
Outro ponto relevante é entender o nível de comprometimento dos gestores com o tratamento e com a proteção de dados pessoais dentro da empresa. O envolvimento da liderança é tão importante que o GDPR determinou a criação de um cargo obrigatório para o quadro das empresas: o Data Protection Officer (“DPO”), figura que se responsabilizará pela implantação e cumprimento da política de proteção de dados e que garantirá a conformidade da empresa com o GDPR (art. 37). Igualmente, quando a LGPD entrar em vigor, todas as empresas que realizarem tratamento de dados pessoais precisarão contratar ou designar um encarregado, com as mesmas funções do DPO (art. 41).
Esse mapeamento da política e do mecanismo usados pela vendedora para a proteção de dados pessoais é vital para que a compradora consiga entender adequadamente os riscos da operação e estimar os custos necessários à eventual adequação das práticas da vendedora. Com essas informações, a compradora pode traçar um perfil capaz de indicar as falhas no sistema de proteção de dados da vendedora e os riscos identificados na auditoria, de modo que a compradora poderá alocá-los ou precificá-los antes do fechamento.
Assim, evita-se que falhas não detectadas antes do fechamento coloquem a compradora e o negócio em situação de risco pelas sanções financeiras, negociais e reputacionais decorrentes da desconformidade com a LGPD e, quando aplicável, com o GDPR.
*Alessandra Fortes Lobo é advogada do L.O.Batista Advogados e mestre em Direito pela Northwestern Pritzker School of Law, em Chicago.
