OS DESAFIOS NAS OPERAÇÕES DE M&A COM A NOVA CULTURA DE PROTEÇÃO DE DADOS

Por Aleff Ribeiro – Advogado do setor de Direito Societário/M&A do Casillo Advogados

 

  Hoje, mais do que nunca, as evoluções tecnológicas podem ser acompanhadas de perto e seus impactos são sentidos não apenas no dia a dia das pessoas, mas também nas mais simples operações empresariais. 

 

  Um desses impactos é a enormidade de dados que circulam e a crescente – e atualmente extremamente em voga – preocupação com sua segurança, o que se reforçou ainda mais com a entrada em vigor da Lei Geral de Proteção de Dados nº 13.709/18, em setembro de 2020, na qual regulamentou-se o tratamento de dados pessoais, que compreendem as informações que permitem a identificação de pessoas naturais. 

 

Não são apenas medidas de segurança que precisam ser tomadas; ao invés, toda uma cultura de proteção dos dados precisa ser criada dentro do ambiente corporativo, permeando desde a coleta e armazenamento de currículos, compartilhamento de informações pessoais, a uma complicada e extensa due dilligence para posterior fusão, incorporação ou aquisição de empresas.

 

  Neste caso, a implementação de soluções de segurança da informação será cada vez mais um diferencial a todos players envolvidos, mas mais ainda àquele objeto do M&A (target), uma vez que os riscos de travar negociação com uma empresa que não se preocupou em instituir referidas medidas são demasiadamente elevados à adquirente – tanto reputacionais quanto perante os órgãos reguladores, já que a própria LGPD prevê multas de até 2% do faturamento anual da empresa por infração, podendo inviabilizar toda a operação. 

 

  Corroborando, enquanto é um diferencial para a empresa alvo, a conformidade à LGPD é uma preocupação da adquirente, que realizará essa conferência tanto da parte jurídica (existência de políticas internas de proteção de dados e de privacidade, de cláusulas protetivas nos contratos com fornecedores e clientes, etc.) quanto da técnica de informação (existência de softwares para controle e rastreamento dos dados, segurança de rede, controle de senhas, etc.), sendo este um fator já determinante no prosseguimento da negociação – observe que essa é prova contundente dos já mencionados impactos da evolução tecnológica no âmbito corporativo, critério jamais visto cinco anos atrás. 

 

  Nessa negociação, a empresa alvo adquirirá o título de Controladora de dados segundo a LGPD, enquanto a potencial compradora, a de Operadora de dados, uma vez que tratará os dados da Target (ex: folhas de pagamentos dos funcionários, relações com fornecedores e clientes, por exemplo) segundo as diretrizes por ela estabelecidas, principalmente na fase da due dilligence, tomando-os como base para decisões acerca da realização da negociação e estratégias para sua concretização. 

 

  Daí a importância de as partes instituírem já nos documentos preambulares (nas propostas iniciais, nos acordos de confidencialidade (NDAs) e nos memorandos de entendimentos (MoUs), por exemplo), previsões que tratem da base legal para o tratamento dos dados, assim como das responsabilidades, direitos e obrigações de cada uma nas posições de controladora e operadora no tocante à forma do tratamento, à segurança no armazenamento, no sigilo e também na responsabilização em caso de incidente de vazamento de dados. 

 

  Vale ressaltar que, em grandes operações, comitês independentes, formados por funcionários e/ou consultores de ambas as partes, podem ser criados com a função de filtrar, de proteger seus respectivos players mediante cuidadosa análise acerca de quais informações podem ser compartilhadas com a outra parte, quais são relevantes para a negociação, quais devem ser anonimizadas, dentre outras.

 

  Enquanto não finalizado o processo de M&A, a Target deverá tomar o máximo cuidado acerca dos dados que divulgará à potencial Compradora, preocupando-se em compartilhar o estritamente necessário, bem como anonimizando as informações sempre que possível. Essas medidas mitigarão os riscos de um vazamento de dados durante a operação, ou até mesmo de uso indevido das informações pela outra parte em caso de cancelamento do negócio. 

 

A empresa adquirente, por sua vez, ao proceder com a auditoria, pode alongar desnecessariamente o processo e até mesmo inviabilizar a negociação caso não defina de antemão o escopo de sua análise, ou seja, delimitar de quais dados necessitará e para que fim, sendo mais viável afunilar a primeira análise e, após a finalização do negócio, prosseguir com uma varredura mais detida. 

Evoluindo a operação, aquelas mesmas obrigações previstas nos documentos preambulares deverão constar nos contratos principais, de forma a regular definitivamente os deveres das partes durante todo o tempo que perdurar a relação jurídica firmada. 

  Veja-se, então, que a preocupação com os dados pessoais deve ser constante em todas as fases de uma negociação de M&A – desde a aproximação das partes à conclusão da operação -, tanto nos casos em que a quantidade de dados tratados pelos players seja baixa (sociedades com modelo de negócio B2B, por exemplo), quanto extremamente alta (empresas cujo core business sejam os próprios dados pessoais), conferindo assim maior segurança e relevante mitigação de riscos aos envolvidos.