A Lei Geral de Proteção de Dados (LGPD), com vigência a partir de agosto de 2020, traz mudanças significativas em relação ao uso de dados pessoais no Brasil.
Em virtude dessa lei, a proteção dos dados e a segurança da informação passam a necessitar de atenção especial nas operações de fusões e aquisições (M&A), não só para que sejam garantidos os direitos dos titulares dos dados tratados em relação à operação (por exemplo dados dos empregados das empresas envolvidas), como também para averiguar o valor de tais dados, que hoje podem representar parte substancial do valuation das empresas-alvo.
A transferência e o tratamento desses dados durante as operações de M&A requerem atenção especial, tanto na fase da Due Diligence, momento de análise e avaliação de informações da empresa alvo da operação, quanto na formalização da documentação da operação.
Nesse contexto, para garantir o correto tratamento dos dados, é imprescindível que seja feito um relatório completo de todos os dados pessoais em posse das partes envolvidas na operação, estando o sigilo dos mesmos acobertado, sempre que possível, desde o início da operação, em Memorando de Entendimentos (MoU) ou ao menos em Acordo de Confidencialidade.
Tendo em vista que todos os compromissos assumidos anteriormente deverão ser mantidos não só durante toda a operação, mas também após a sua conclusão, deve-se evitar a possível quebra de promessa de privacidade entre as empresas envolvidas e o titular dos dados pessoais.
Vale ressaltar que, numa operação de M&A, devem ser respeitados três princípios, que são comuns entre a legislação europeia e a LGPD brasileira, quais sejam:
-Accountability”: caracterizada como a adoção de medidas para o cumprimento das normas de proteção de dados pessoais, e sobretudo a sua demonstração.
-Privacy by Default”: trata-se de garantir que apenas os dados necessários à finalidade pretendida sejam tratados.
-Privacy by Design”: obrigação de proteção de dados pessoais desde a fase de concepção do produto ou do serviço até a sua execução.
Com base na experiência europeia, é prudente avaliar os riscos envolvidos no processamento dos dados em razão da operação. É ainda recomendável que, anteriormente ao início da Due Diligence, as pessoas cujos dados serão tratados durante a operação sejam informadas acerca desse tratamento, e que, durante a Due Diligence, seja verificada a existência – e conteúdo – de cláusulas referentes à proteção de dados pessoais nos contratos (comerciais, trabalhistas etc.) celebrados pelas empresas-alvo.
As medidas acima são de tamanha importância que, na União Europeia, por exemplo, houve até mesmo decisão da Corte de Cassação Francesa prevendo o cancelamento de uma operação envolvendo transferência de dados por descumprimento da legislação de proteção de dados pessoais.
Apesar da penalidade de desfazimento do negócio não ter sido prevista na LGPD brasileira, a mesma prevê penalidades importantes cujo fato gerador pode ocorrer antes, durante, ou até mesmo após a operação de M&A, devendo o adquirente ter plena consciência dos riscos e dos procedimentos necessários para mitigá-los.
Em suma, é imprescindível que, a partir de agora, qualquer operação de M&A considere, tanto na fase de Due Diligence, como na elaboração de contratos, a proteção de dados pessoais de acordo com a LGPD.
AUTOR: Fernando Santiago e Philippe Boutaud-Sanz, sócios-fundadores de Chenut Oliveira Santiago Advogados, são, respectivamente, especialista em Proteção de Dados (Data Protection), Direito Europeu e Direito Digital; e especialista em Fusões e Aquisições (M&A) e Direito Internacional. Isabella Sobral Corazza é assistente jurídica na área de Fusões e Aquisições da mesma banca