Ursula Ribeiro de Almeida, advogada e coordenadora da área empresarial e de proteção de dados da Roncato Advogados. Artigo publicado no Valor Econômico
As operações de fusões e aquisições (ou M&A, na sigla em inglês) atingiram recorde em 2021, com número total de 62 mil transações anunciadas. Seguindo na esteira global, o volume de transações em 2021 no Brasil foi o maior em 10 anos, com aumento de 51% em comparação com o ano anterior (2020), destacando-se o setor de tecnologia. Alguns indícios apontam que o mercado brasileiro continuará aquecido, ainda que em ritmo menos acelerado em razão da instabilidade decorrente das eleições presidenciais.
Além dos aspectos negociais estratégicos envolvidos nas operações de M&A, o potencial comprador precisa realizar auditoria (due diligence) na empresa alvo (target) visando identificar riscos, que usualmente tem como foco a análise financeira, legal, contábil-fiscal e técnica. O objetivo é permitir que o possível comprador tome uma decisão embasada na real situação da empresa alvo. Em geral, a auditoria legal da empresa alvo visa verificar a titularidade dos bens, a existência de ações judiciais ou títulos protestados, a possibilidade de a operação ser considerada fraude à execução ou contra credores, regularidade na administração da sociedade, eventuais restrições societárias à transação, licenciamento ambiental, cumprimento de obrigações regulatórias, dentre outras análises.
Após o início da vigência da Lei Geral de Proteção de Dados – LGPD, que prevê multa de até 50 milhões de reais por infração, e da consagração da proteção de dados como um direito fundamental, pela Emenda Constitucional n. 118/2022, a auditoria (due diligence) na proteção de dados pessoais e na cibersegurança se tornaram indispensáveis em uma operação de fusão e aquisição realizada no Brasil.
A empresa compradora pode sofrer relevante impacto econômico caso a empresa alvo não tenha realizado a adequação das suas atividades de tratamento de dados pessoais à LGPD, e/ou não adote medidas de governança para realizar o controle do tratamento de dados pessoais, já que pode sofrer as sanções previstas na LGPD e, dependendo da sua atividade, multa de órgãos de defesa do consumidor e ações judiciais de sindicatos, titulares de dados e até mesmo do Ministério Público. Também devem ser considerados as despesas com a defesa administrativa e judicial e os danos reputacionais perante o mercado.
Destacamos nesse sentido o caso paradigmático da Marriott International Inc, que, em 2020, sofreu multa de 18,4 milhões de libras da autoridade de proteção de dados do Reino Unido (ICO) por uma violação na proteção de dados dos clientes da rede de hotéis que havia adquirido, a Starwood Hotels and Resorts Worldwide Inc. Ainda que as penalidades a serem aplicadas pelas autoridades brasileiras possam não atingir patamar tão elevado, os prejuízos podem ser relevantes se consideradas as consequências legais como um todo.
A cibersegurança também é um ponto de atenção em razão do uso cada vez mais intenso da tecnologia nos negócios. Por isso, a falha na segurança de sistemas operacionais pode resultar em exposição excessiva a riscos de vazamento de informações e ataque de cibercriminosos, que podem comprometer gravemente o funcionamento das atividades da empresa, além de possíveis danos a terceiros, o que inclui titulares de dados pessoais e parceiros de negócio. Assim, além da possibilidade de sofrer as sanções descritas anteriormente por violação à LGPD, a empresa adquirente pode ficar sujeita a pagar multas contratuais elevadas e indenizações a terceiros.
É importante que, durante o processo de auditoria realizado no contexto da operação de fusão e aquisição, sejam analisados, dentre outros aspectos: (i) os documentos relevantes para a proteção de dados; (ii) as informações relacionadas com medidas técnicas e organizacionais de proteção de dados; (iii) sistemas de tecnologia da informação; (iv) atividades de tratamento de dados pessoais; (v) entrevista com os responsáveis pela proteção de dados, incluindo o Encarregado (DPO); (vi) informações sobre qualquer violação de dados e a respectiva comunicação às autoridades e aos titulares de dados; (vii) informações sobre processos judiciais ou administrativos existentes envolvendo a LGPD; (viii) autoavaliação da empresa alvo quanto ao cumprimento da LGPD.
Destacamos, ainda, alguns aspectos problemáticos a serem observados na governança de dados pessoais: (i) o uso de aplicativos, sistemas ou software incompatíveis com a LGPD e outras leis aplicáveis, fator que é particularmente relevante se o modelo de negócio da empresa alvo é baseado nesse sistema; e (ii) a existência de “caixa preta” ou “cemitério” de banco de dados, que não tenham base legal para tratamento.
Os riscos identificados durante o levantamento das informações relativas à proteção de dados e à cibersegurança podem ter reflexo significativo no valor de mercado da empresa alvo e, dependendo dos riscos mapeados, podem ser um obstáculo para a operação de M&A.
Ademais, é importante ter atenção no tratamento de dados pessoais realizados durante o período de negociação. Nessa fase, o potencial comprador pode solicitar a apresentação de arquivos que contenham dados pessoais e sensíveis. É necessário observar se a transferência de dados pessoais observa os princípios da LGPD, com destaque para a minimização, segurança e prevenção. Caso a operação seja realizada entre uma empresa localizada no Brasil e outra fora do país, pode-se caracterizar a transferência internacional de dados, o que exige a observância de requisitos específicos.
