Desde a entrada em vigor da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – “LGPD”), em setembro de 2020, tem-se percebido uma série de impactos nas empresas. Tendo como principal objetivo a proteção dos direitos fundamentais de liberdade e privacidade, tal lei regulamenta todo e qualquer tratamento de dados pessoais, que são quaisquer dados que identifiquem ou tornem uma pessoa física identificável.
Na medida em que um processo de M&A avance e as partes envolvidas têm acesso a dados pessoais, sejam de administradores, empregados, clientes, prestadores de serviços, entre outros, elas estão sujeitas às regras estabelecidas pela LGPD.
Como se sabe, uma operação de M&A envolve diversas etapas. Com ênfase na análise dos impactos que a LGPD tem trazido à tais operações, destacam-se: Valuation; Due diligence; e Elaboração de documentos definitivos.
Valuation é o momento de precificação da empresa-alvo. Em tal momento, devem-se considerar todos os aspectos que podem afetar o preço de venda. É importante verificar se a empresa já está em conformidade com a LGPD e, caso contrário, levar em conta: os custos de adequação (que podem ser elevados, a depender das mudanças necessárias nos procedimentos e documentos internos etc.); se já ocorreram incidentes de segurança da informação pelos quais a adquirente pode vir a ser responsabilizada (como ocorreu no caso da rede de hotéis Marriott, responsabilizada por não ter investigado suficientemente a empresa Starwood, ao adquiri-la); se o tratamento pretendido para a base de dados pessoais da empresa-alvo continuará sendo lícito, com base nas hipóteses previstas na LGPD; entre outros.
Já na due diligence, que é o processo de auditoria da empresa-alvo, é essencial compreender e regular entre as partes como se dará o compartilhamento e a forma de análise de dados pessoais. Nesse sentido, recomenda-se que as partes se atentem especialmente aos seguintes pontos: limitação do acesso aos dados pessoais da empresa-alvo apenas àquelas pessoas que precisam acessá-los; confirmação de que o compartilhamento de dados para fins da auditoria esteja de acordo com as base legais previstas da LGPD; e inclusão de questionários referentes à proteção de dados e rotinas da empresa-alvo nos processos de auditoria, a fim de identificar possíveis irregularidades que possam afetar o preço da empresa-alvo.
Tem-se, portanto, que a LGPD tem impactado os processos de due diligence em duas principais dimensões: (i) em relação aos procedimentos a serem observados na condução do processo de due diligence pelas partes; e (ii) a respeito da necessidade de aferição, pela adquirente, do grau de adequação da empresa-alvo à LGPD ou, ao menos, as medidas já adotadas em direção à conformidade.
Em termos de procedimentos, a inclusão de cláusulas nos documentos preliminares, como o acordo de confidencialidade ou a carta de intenções, sobre o regime de responsabilização das partes em caso de infração de proteção de dados no decorrer da operação, incluindo multas, tornou-se ainda mais importante.
Finalmente, na fase de elaboração de documentos definitivos, quando são negociados os contratos que estruturam a operação, sejam contratos de compra e venda de participação societária ou de ativos, a principal questão está relaciona à alocação dos riscos de proteção de dados identificados na due diligence, através da definição contratual das responsabilidades das partes. Duas cláusulas já conhecidas nos contratos de compra e venda desempenham um papel importante nesse sentido:
• Declarações e garantias: é por meio desta cláusula que a empresa-alvo atesta e declara a sua situação em relação ao cumprimento das normas de proteção de dados. São exemplos de declaração: de conformidade com a LGPD; de que a empresa não está sendo investigada pela Autoridade Nacional de Proteção de Dados (ANPD) pelo descumprimento das obrigações legais; de que não há restrições para a transferência de seu banco de dados à adquirente; e, se for o caso, de que existe na empresa-alvo uma segurança da informação razoavelmente aceita conforme os padrões do mercado.
• Indenização: através desta cláusula, a empresa-alvo assume responsabilidade de indenizar a adquirente por contingências relacionadas à proteção de dados. Com a entrada em vigor da LGPD, é necessário que a adquirente avalie a necessidade de atribuir responsabilidade à empresa-alvo por desconformidades com a LGPD, seja por fatos ocorridos antes do fechamento da operação ou por um período posterior adicional de transição.
Tendo em vista que a adquirente em uma operação de M&A poderá ser solidariamente responsável por qualquer violação relacionada ao tratamento de dados pela empresa-alvo, seja antes ou após o fechamento da operação, é primordial que observe a LGPD. Ela deverá, portanto, além de realizar a due diligence da empresa-alvo com base na lei, incluir cláusulas de proteção nos contratos preliminares e definitivos e considerar o impacto da não conformidade da empresa-alvo em sua precificação.
– Andersen Ballão Advocacia