Migalhas de Peso

M&A e os princípios da LGPD

O que é possível extrair dos princípios para a adequação de uma operação de M&A à luz da proteção de dados e da segurança da informação?

20/6/2022

Após um ano de recordes numéricos em operações de M&A no Brasil, nota-se que a atenção dos operadores de M&A vem se voltando ao tratamento apropriado dos dados pessoais e à adoção de medidas de segurança que o garantam. O avanço do aculturamento sobre a proteção de dados pessoais, inclusive decorrente das condenações de adquirentes pela falta de cautela - ou profundidade - na avaliação das empresas adquiridas sob o viés de proteção de dados e segurança da informação, pode ter contribuído para esse novo olhar.

O processo de M&A é marcado por sucessivas atividades de tratamento de dados pessoais, desde a sua etapa de precificação até a etapa que sucede o seu fechamento.

Para que o tratamento de dados pessoais seja considerado lícito à luz da Lei Geral de Proteção de Dados Pessoais (“LGPD”), deve se enquadrar em uma das hipóteses autorizadoras desse tratamento (“bases legais”), bem como observar, desde a coleta até o descarte dos dados, os princípios previstos na LGPD, que imporão limites ao tratamento, como forma de garantir o direito fundamental de Proteção de Dados Pessoais. São eles:

Finalidade. Todo o tratamento de dados pessoais deve ser realizado para propósitos legítimos, específicos e informados ao titular desses dados.

Passa a ser relevante que as partes envolvidas na operação de M&A formalizem a limitação do tratamento dos dados pessoais às finalidades pré-estabelecidas, desde os primeiros instrumentos contratuais da operação.

Além disso, a LGPD veda o tratamento de dados pessoais para propósitos incompatíveis com aqueles informados aos titulares. Na hipótese de o potencial adquirente pretender tratar os dados para propósitos diversos após o fechamento da operação, é necessário que avalie antes, se tais propósitos são compatíveis com aqueles anunciados ao titular.

Adequação e necessidade. O tratamento dos dados deve ser compatível com as finalidades informadas ao titular e, ainda, limitado ao menor número de dados possível para alcançar tais finalidades.

Durante toda a operação, as partes devem avaliar se seria possível alcançar as finalidades pré-estabelecidas com um menor número de dados, evitando fazer uso de listas genéricas de solicitação de documentos, compartilhando, sempre que possível, dados anonimizados que, por sua natureza, estão fora da tutela da LGPD e, portanto, das limitações por ela impostas.

Qualidade dos dados e não discriminação. Os dados pessoais tratados devem ser exatos, claros, relevantes e atualizados, e não podem ser tratados para fins discriminatórios ilegais ou abusivos.

Segurança e prevenção. Tornam necessária a adoção de medidas técnicas e administrativas aptas a proteger os dados de incidentes, prevenindo a ocorrência de danos ao titular.

Mostra-se aqui, a multidisciplinaridade da proteção de dados pessoais, o que torna inafastável a sinergia entre profissionais do direito e da segurança cibernética no estabelecimento de padrões mínimos de segurança a serem adotados pelas partes no tratamento de dados, para que não se vulnerabilize a confidencialidade, a disponibilidade e a integridade desses dados, o que poderia implicar danos aos titulares, danos materiais e reputacionais às partes, e até mesmo a redução do preço da empresa-alvo.

É recomendável às partes pré-estabelecer as medidas de segurança minimamente esperadas, tais como a criptografia dos dados compartilhados; a contratação de empresas especializadas em data room digital; o estabelecimento de controles de acesso; e a desabilitação das funções “copiar”, “salvar” e “imprimir” dos arquivos compartilhados, que contenham dados pessoais.

Responsabilização e prestação de contas. Para além das medidas acima, importa às partes, a demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Transparência e livre acesso. É garantido ao titular o recebimento de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento, devendo ser viabilizada a consulta facilitada e gratuita sobre a forma, duração do tratamento e integralidade dos dados tratados.

A transparência, no entanto, parece permitir certa flexibilização ao prever a possibilidade de preservação do segredo comercial. É razoável afirmar que, na medida do necessário, os efeitos da transparência podem ser mitigados na exata proporção do segredo comercial a ser preservado.

Abordados os princípios previstos na LGPD e seus efeitos às operações de M&A, é possível concluir que a observância aos princípios no tratamento de dados pessoais busca garantir um direito fundamental, mas também favorece as partes envolvidas na operação de M&A, na medida em que reduz os riscos de tratamento ilícito dos dados pessoais e, consequentemente, os riscos de responsabilização de quem os trata.

Renato Opice Blum
Advogado e Economista. Patrono Regente do Curso de Pós-graduação em Direito Digital e Proteção de Dados da Escola Brasileira de Direito - EBRADI; Professor coordenador na FAAP.

Ana Rita Biba Gomes de Almeida
Gestora da área de Privacidade e Proteção de Dados do Opice Blum, Bruno e Vainzof Advogados Associados.

Veja mais no portal
cadastre-se, comente, saiba mais

Leia mais

Migalhas Quentes

LGPD: Conheça as penalidades que entraram em vigor

23/8/2021

Artigos Mais Lidos

“Salve o Corinthians”

24/12/2024

Comentários ao acórdão proferido no RE 107.248 sobre terço de férias

26/12/2024

Doença degenerativa da coluna lombar aposenta? Entenda!

26/12/2024

A utilização da inteligência artificial no franchising

24/12/2024

Comentários ao anteprojeto do Código de Processo do Trabalho - Do incidente de declaração de grupo econômico (art. 115)

25/12/2024