Desde sua entrada em vigor, em 18/09/2020, a Lei nº 13.709/2018 ou Lei Geral de Proteção de Dados (LGPD) tem trazido uma série de impactos para as empresas. Com o objetivo de proteger os direitos fundamentais de liberdade e privacidade, a LGPD regulamenta todo e qualquer tratamento de dados pessoais, isto é, dados que identifiquem ou permitam a identificação de uma pessoa física.

Na medida em que operações de fusão e aquisição, também conhecidas por Mergers and Acquisitions (M&A), envolvem a utilização de dados pessoais de administradores, empregados, clientes, prestadores de serviços e outras pessoas, as partes dessas operações sujeitam-se à LGPD.

Dentre as várias etapas de operações de M&A, destacam-se as seguintes, na consideração de impactos da LGPD: valuation, due diligence e elaboração de documentos definitivos.

A valuation consiste na precificação da empresa-alvo. Em tal etapa, devem-se considerar todas as circunstâncias que possam interferir na formação do preço de venda. Nesse sentido, é importante verificar se a empresa já passou por um processo de adequação à LGPD e, em caso negativo, quais seriam seus custos (que podem ser elevados, a depender das necessidades de alteração de procedimentos e documentos internos etc.), se já ocorreram incidentes de segurança da informação pelos quais a adquirente pode vir a ser responsabilizada (como ocorreu, p. ex., no caso da rede de hotéis Marriott, responsabilizada por não ter investigado suficientemente a empresa Starwood antes de adquiri-la) e se o tratamento pretendido para a base de dados pessoais da empresa-alvo continuará sendo lícito, conforme as hipóteses permitidas pela LGPD.

Já na due diligence, que é o processo de auditoria da empresa-alvo, é relevante compreender e regular entre as partes como se dará o compartilhamento e a forma de análise de dados pessoais. Nesse sentido, é recomendável que as partes atentem especialmente para os seguintes pontos: necessidade de limitar o acesso aos dados pessoais da empresa-alvo àquelas pessoas que realmente precisam acessá-los; confirmação de que o compartilhamento de dados para fins da auditoria esteja de acordo com a LGPD; e inclusão de questionários sobre proteção de dados e rotinas da empresa-alvo, com o objetivo de identificar possíveis irregularidades que possam reduzir o preço da empresa-alvo.

Nota-se que a LGPD tem impactado processos de due diligence, tanto nos procedimentos a serem observados na sua condução pelas partes como na necessária aferição pela adquirente do grau de adequação da empresa-alvo à LGPD ou, ao menos, das ações já adotadas em direção a uma adequação. Quanto à questão procedimental, passou a ser ainda mais relevante a inclusão de cláusulas, nos documentos preliminares (como, p. ex., no acordo de confidencialidade ou na carta de intenções), estabelecendo o regime de responsabilização das partes em caso de infração da proteção de dados pessoais no decorrer da operação, incluindo a previsão de multas.

Finalmente, na fase de elaboração de documentos definitivos, quando são negociados os contratos que estruturarão a operação, sejam contratos de compra e venda de participação societária ou de ativos, o ponto principal diz respeito à alocação dos riscos de proteção de dados identificados na due diligence, através da definição contratual das responsabilidades das partes. Destaquem-se aqui a relevância de declarações e garantias e de cláusula indenizatória:

• Declarações e garantias: a empresa-alvo atesta e declara a sua situação em relação ao compliance de proteção de dados. São exemplos: declaração de conformidade com a LGPD, declaração de que a empresa não está sendo investigada pela Autoridade Nacional de Proteção de Dados (ANPD) por descumprimento das obrigações legais, declaração de que não existem impedimentos para a transferência de seu banco de dados à adquirente e, eventualmente, declaração de que existe na empresa-alvo uma segurança da informação razoavelmente aceita conforme os padrões do mercado. Outras questões podem ser adicionadas ou suprimidas, a depender do caso concreto.
• Indenização: através de cláusula indenizatória, o(s) vendedor(es) da empresa-alvo assume(m) responsabilidade de indenizar a adquirente por contingências relacionadas à proteção de dados. Com a entrada em vigor da LGPD, faz-se necessário que a adquirente avalie a necessidade de atribuir responsabilidade ao(s) vendedor(es) da empresa-alvo por desconformidades com a LGPD, seja por fatos ocorridos antes do fechamento da operação ou, ainda, por um período posterior adicional de transição.

Visto que a empresa adquirente em uma operação de M&A poderá ser solidariamente responsável por qualquer violação relacionada ao tratamento de dados pela empresa-alvo, seja antes ou após o fechamento da operação, é primordial que ela observe rigorosamente a LGPD. Deverá, portanto, além de realizar a due diligence da empresa-alvo com base na lei, incluir as necessárias cláusulas protetivas, tanto nos contratos preliminares como nos definitivos, e verificar o impacto de eventual não-adequação da empresa-alvo para sua precificação.

Camila Giacomazzi Camargo
Divulgação