Comentários sobre impactos da LGPD nas operações de M&A
Fernanda Vidigal e Pedro Ernesto Rocha
Publicada em 2018 e vigente desde agosto de 2020, a Lei Geral de Proteção de Dados (“LGPD”) (1) tem levantado intensos debates nos mais diversos âmbitos do Direito. Inspirada no diploma europeu, General Data Protection Regulation (“GDPR”), a LGPD tem como objetivo regular o tratamento de dados pessoais (2) no Brasil, visando a garantir a proteção dos direitos fundamentais de liberdade e privacidade, bem como o livre desenvolvimento da personalidade (3).
Nesse contexto, ao mesmo tempo em que confere direitos e prerrogativas ao titular de dados pessoais, permitindo a sua atuação ativa no controle do uso de suas informações (4), a LGPD estabelece deveres para aqueles que exercem qualquer tipo de tratamento desses dados – o “Controlador” e o “Operador”, conjuntamente chamados “Agentes de tratamento” (5) –, tais como a adoção de medidas de segurança para a proteção dos dados pessoais contra acessos, compartilhamentos e cópias não autorizados, dentre inúmeros outros riscos (6).
É justamente em razão dessa sistemática adotada pelo legislador que as entidades devem se atentar para o cumprimento dos dispositivos da LGPD, inclusive no âmbito das operações de fusão e/ou aquisição (a seguir chamadas “M&A”) (7) de que sejam partes.
Como se sabe, uma operação de M&A envolve diversos procedimentos e transações, divididos, em regra, em quatro fases básicas (8): (i) negociações preliminares e assinatura de memorando de entendimentos (comumente chamado de memorandum of understandings ou MoU); (ii) auditoria contábil, legal, financeira etc. (conhecida como due diligence); (iii) assinatura do contrato principal (signing); e (iv) fechamento (closing), momento em que são executadas as principais obrigações do negócio (em geral, a obrigação de pagar o preço ou parte dele, pelo comprador, e a obrigação de transferir participações societárias, pelo vendedor).
Considerando que tais etapas demandam a coleta, utilização, transmissão, avaliação e arquivamento de informações de pessoas naturais que, de algum modo, estão relacionadas às sociedades que participam do M&A (administradores, empregados, clientes, prestadores de serviços etc.), a operação acaba se sujeitando às regras impostas pela LGPD.
Pela aplicação do novo diploma, é necessário que, desde o início das tratativas e negociações, as partes estabeleçam as condições referentes ao tratamento dos dados pessoais no âmbito da operação, assegurando o cumprimento dos princípios estabelecidos no art. 6º da LGDP, tais como necessidade, finalidade, transparência, segurança e responsabilização (9).
Além disso, deve-se atentar para o fato de que o tratamento de dados pessoais somente pode ser feito – nas operações de M&A e em qualquer outra situação – caso enquadrado em uma das bases legais previstas nos artigos 7º, 11 e 14 da LGPD (10). Assim, os dados poderão ser tratados, por exemplo, se isso for necessário para atender aos interesses legítimos do Controlador (art. 7º, IX), para o cumprimento de obrigações legais pelo Controlador (art. 7º, II), para o exercício regular de direitos em processo judicial (art. 7º, VI) etc. (11)
Nesse sentido, todos os instrumentos firmados no âmbito do M&A, sejam os acordos preliminares, como o MoU, sejam os contratos principais que formalizam a operação, precisam prever regras quanto ao tratamento de dados pessoais. No âmbito dos contratos principais, é indispensável a disposição de declarações e garantias voltadas para o cumprimento da LGPD, bem como a inserção de normas sobre o regime de responsabilização das partes em caso de infração aos seus dispositivos no decorrer da operação.
Veja-se que, mesmo no momento posterior ao fechamento (pós closing) ou num momento de encerramento de negociações sem fechamento, ainda haverá a incidência das normas protetivas de dados, pois, nos termos do art. 47 da LGPD, a segurança das informações pessoais deve ser garantida não apenas durante o período em que ocorre o tratamento, como também após o seu término (12). Isto é, todos que realizaram atividades de tratamento de dados pessoais deverão se comprometer a garantir a segurança destes dados.
Dentre as fases do M&A, merece destaque a fase de due diligence, que fundamentalmente envolve compartilhamento de informações (inclusive de pessoas naturais sócias, administradoras, empregados, clientes etc.). Esta etapa exige, por exemplo, que seja feita uma seleção das informações que serão disponibilizadas pela entidade alvo (target) à entidade potencial compradora, dispensando-se aquelas que não forem essenciais à operação e utilizando técnicas de anonimização quando possível (13), em atenção ao princípio da necessidade.
Por outro lado, a due diligence passa a funcionar como importante instrumento para a verificação da própria conformidade da target com o regramento da LGPD. Em seu capítulo de segurança e boas práticas, o novo diploma estabelece a possibilidade de os controladores e operadores formularem regras de governança envolvendo o tratamento de dados, definindo padrões técnicos, procedimentos de proteção, mecanismos internos de fiscalização, entre outros (14). Assim, a potencial adquirente pode e deve, por meio da due diligence, investigar se a target já tem implementadas políticas próprias de proteção de dados pessoais, com o objetivo de evitar eventual sucessão de responsabilidade decorrente do descumprimento da LGPD, ou, no mínimo, conhecer o risco de sucessão e dele cuidar em âmbito contratual (com cláusulas de garantia, eventualmente com revisão do preço etc.).
Sobre a responsabilidade dos agentes de tratamento (no contexto das operações de M&A, a target, a potencial adquirente, os assessores etc.), a LGPD determina não apenas a obrigação de indenizar e ressarcir os danos causados em razão do exercício irregular de atividade de tratamento de dados pessoais (15), como estabelece a aplicação de sanções administrativas, que podem chegar à aplicação de multas de até cinquenta milhões de reais, entre outras (16).
Assim, diante da abrangência da LGPD, as operações de M&A precisam ser estruturadas em conformidade com as novas regras de proteção de dados, objetivando o seu cumprimento em todas as etapas da negociação. Do ponto de vista da entidade alvo, o preço de suas participações societárias e a própria viabilidade da sua aquisição poderão ser afetadas pela existência de contingências relacionadas aos descumprimentos da LGPD, e pela existência ou não de políticas internas de privacidade que assegurem a observância das regras da LGPD. Já em relação à adquirente, o cumprimento de tais normas é essencial para evitar ou dimensionar futuras responsabilizações.
Fernanda Vidigal
Advogada da Equipe de Consultoria do VLF Advogados
Pedro Ernesto Rocha
Coordenador da Equipe de Consultoria do VLF Advogados
(1) BRASIL. Lei n.º 13.709, de 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 17 fev. 2021.
(2) “Art. 5º - Para os fins desta Lei, considera-se: I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável; […] X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.”
(3) “Art. 1º - Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”
(4) Conferir, em especial, os arts. 2º, 17 e 18 da LGPD.
(5) “Art. 5º - Para os fins desta Lei, considera-se: […] VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; […]; IX - agentes de tratamento: o controlador e o operador.”
(6) Ver art. 46 e, ainda, arts. 37 a 39 da LGPD.
(7) Do inglês, “mergers and acquisitions”.
(8) Além de outras possíveis envolvendo, por exemplo, o cumprimento de condições precedentes ou das chamadas obrigações pós closing.
(9) “Art. 6º - As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.”
(10) “Art. 7º - O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: […] Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: […] Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.”
(11) A LGPD ainda prevê que os dados podem ser usados quando os titulares assim consentirem (art. 7º, I). No âmbito de uma operação de M&A, a obtenção de consentimento para tratamento de dados pode se mostrar de difícil aplicabilidade prática, pois o consentimento depende de uma série de requisitos legais para ser formalizado e pode ser revogado a qualquer tempo. Portanto, valer-se da obtenção de consentimento para o tratamento de dados pode se revelar bastante oneroso ou até mesmo inviabilizar a realização da operação com observância dos preceitos da LGPD, em especial em operações que envolvam negócios de varejo, com milhares de clientes pessoas físicas cadastrados nos bancos de dados da target. Por isso, o recomendável é buscar enquadrar o tratamento de dados nas demais hipóteses do artigo 7º (como aquelas citadas no texto), e usar a base legal do consentimento somente em caráter de exceção.
(12) “Art. 47 - Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.”
(13) Sobre a anonimização, confira-se o que estabelece a LGPD: “Art. 12 - Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.”
(14) “Art. 50 - Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.”
(15) Conferir os arts. 42 a 45 da LGPD.
(16) Ver art. 52 da LGPD.
