Após um ano de recordes numéricos em operações de M&A no Brasil, nota-se que a atenção dos operadores de M&A vem se voltando ao tratamento apropriado dos dados pessoais e à adoção de medidas de segurança que o garantam. O avanço do aculturamento sobre a proteção de dados pessoais, inclusive decorrente das condenações de adquirentes pela falta de cautela - ou profundidade - na avaliação das empresas adquiridas sob o viés de proteção de dados e segurança da informação, pode ter contribuído para esse novo olhar.
O processo de M&A é marcado por sucessivas atividades de tratamento de dados pessoais, desde a sua etapa de precificação até a etapa que sucede o seu fechamento.
Para que o tratamento de dados pessoais seja considerado lícito à luz da Lei Geral de Proteção de Dados Pessoais (“LGPD”), deve se enquadrar em uma das hipóteses autorizadoras desse tratamento (“bases legais”), bem como observar, desde a coleta até o descarte dos dados, os princípios previstos na LGPD, que imporão limites ao tratamento, como forma de garantir o direito fundamental de Proteção de Dados Pessoais. São eles:
Finalidade. Todo o tratamento de dados pessoais deve ser realizado para propósitos legítimos, específicos e informados ao titular desses dados.
Passa a ser relevante que as partes envolvidas na operação de M&A formalizem a limitação do tratamento dos dados pessoais às finalidades pré-estabelecidas, desde os primeiros instrumentos contratuais da operação.
Além disso, a LGPD veda o tratamento de dados pessoais para propósitos incompatíveis com aqueles informados aos titulares. Na hipótese de o potencial adquirente pretender tratar os dados para propósitos diversos após o fechamento da operação, é necessário que avalie antes, se tais propósitos são compatíveis com aqueles anunciados ao titular.
Adequação e necessidade. O tratamento dos dados deve ser compatível com as finalidades informadas ao titular e, ainda, limitado ao menor número de dados possível para alcançar tais finalidades.
Durante toda a operação, as partes devem avaliar se seria possível alcançar as finalidades pré-estabelecidas com um menor número de dados, evitando fazer uso de listas genéricas de solicitação de documentos, compartilhando, sempre que possível, dados anonimizados que, por sua natureza, estão fora da tutela da LGPD e, portanto, das limitações por ela impostas.
Qualidade dos dados e não discriminação. Os dados pessoais tratados devem ser exatos, claros, relevantes e atualizados, e não podem ser tratados para fins discriminatórios ilegais ou abusivos.
Segurança e prevenção. Tornam necessária a adoção de medidas técnicas e administrativas aptas a proteger os dados de incidentes, prevenindo a ocorrência de danos ao titular.
Mostra-se aqui, a multidisciplinaridade da proteção de dados pessoais, o que torna inafastável a sinergia entre profissionais do direito e da segurança cibernética no estabelecimento de padrões mínimos de segurança a serem adotados pelas partes no tratamento de dados, para que não se vulnerabilize a confidencialidade, a disponibilidade e a integridade desses dados, o que poderia implicar danos aos titulares, danos materiais e reputacionais às partes, e até mesmo a redução do preço da empresa-alvo.
É recomendável às partes pré-estabelecer as medidas de segurança minimamente esperadas, tais como a criptografia dos dados compartilhados; a contratação de empresas especializadas em data room digital; o estabelecimento de controles de acesso; e a desabilitação das funções “copiar”, “salvar” e “imprimir” dos arquivos compartilhados, que contenham dados pessoais.
Responsabilização e prestação de contas. Para além das medidas acima, importa às partes, a demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Transparência e livre acesso. É garantido ao titular o recebimento de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento, devendo ser viabilizada a consulta facilitada e gratuita sobre a forma, duração do tratamento e integralidade dos dados tratados.
A transparência, no entanto, parece permitir certa flexibilização ao prever a possibilidade de preservação do segredo comercial. É razoável afirmar que, na medida do necessário, os efeitos da transparência podem ser mitigados na exata proporção do segredo comercial a ser preservado.
Abordados os princípios previstos na LGPD e seus efeitos às operações de M&A, é possível concluir que a observância aos princípios no tratamento de dados pessoais busca garantir um direito fundamental, mas também favorece as partes envolvidas na operação de M&A, na medida em que reduz os riscos de tratamento ilícito dos dados pessoais e, consequentemente, os riscos de responsabilização de quem os trata.