Publicações

Tratamento de dados pessoais em operações de M&A: um risco estratégico em 2025

Tratamento de dados pessoais em operações de M&A: um risco estratégico em 2025

10/7/2025

A atenção à proteção de dados pessoais deixou de ser um mero detalhe técnico para se consolidar como um dos pilares centrais na análise de riscos em processos de fusões e aquisições (M&A). Em um cenário jurídico cada vez mais rigoroso, tanto no Brasil quanto internacionalmente, o descuido com esse tema pode não apenas inviabilizar uma transação, mas gerar prejuízos financeiros e reputacionais consideráveis.

Se, anos atrás, a auditoria prévia a uma operação de M&A dificilmente abordava com profundidade os aspectos relacionados ao tratamento de dados pessoais, hoje a situação é completamente diferente. A Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) plenamente em vigor, conta com a atuação cada vez mais presente da Autoridade Nacional de Proteção de Dados (ANPD). Paralelamente, empresas brasileiras com qualquer interface com o mercado europeu, por exemplo, continuam sujeitas às exigências do Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR), cuja extraterritorialidade é amplamente reconhecida.

Diante desse cenário, o processo de due diligence em M&A exige uma nova postura: é necessário mapear com precisão como a empresa-alvo coleta, trata, compartilha e protege os dados pessoais que detém. A análise jurídica não pode mais se restringir às cláusulas contratuais e obrigações trabalhistas — é preciso avaliar os protocolos de segurança da informação, a existência (ou ausência) de um encarregado de dados (DPO ou equivalente) e o grau de maturidade da cultura de privacidade da empresa.

Além de verificar a obtenção válida do consentimento dos titulares e a utilização de técnicas de anonimização ou pseudonimização, também é essencial avaliar o histórico da empresa em incidentes de segurança da informação. Empresas que já sofreram vazamentos e não trataram os casos de forma transparente e tecnicamente adequada podem representar riscos que impactam diretamente o valuation da operação.

Outro aspecto muitas vezes negligenciado diz respeito ao comprometimento da alta gestão com a governança de dados pessoais. Uma empresa que trata a proteção de dados pessoais como obrigação burocrática dificilmente terá uma estrutura sólida para mitigar riscos reais. O envolvimento efetivo da liderança, com políticas claras e alinhadas à legislação, é um diferencial estratégico.

Neste passo, o mapeamento das práticas de proteção de dados da parte vendedora é hoje etapa inegociável na estruturação de qualquer M&A. A ausência desse cuidado pode resultar em cláusulas onerosas de indenização, ajustes no preço de aquisição ou até mesmo na desistência da transação. Mais do que uma exigência legal, trata-se de uma questão de inteligência negocial e de preservação de valor para as partes envolvidas.

Nossa equipe de Privacidade e Proteção de Dados está à disposição para marcar uma conversa e esclarecer suas dúvidas.

Autoria de: Denise de Araujo Berzin Reupke

Outras notícias
Tags