sexta-feira,22 novembro, 2024

M&A e LGPD: o que tem mudado nas operações de fusão e aquisição

Desde sua entrada em vigor, em 18/9/2020, a Lei nº 13.709/2018 ou LGPD (Lei Geral de Proteção de Dados) tem trazido uma série de impactos para as empresas. Com o objetivo de proteger os direitos fundamentais de liberdade e privacidade, regulamenta todo e qualquer tratamento de dados pessoais. Isto é, dados que identifiquem ou permitam a identificação de uma pessoa física.

Na medida em que operações de fusão e aquisição, também conhecidas por mergers and acquisitions (M&A), envolvem a utilização de dados pessoais de administradores, empregados, clientes, prestadores de serviços e outras pessoas, as partes dessas operações sujeitam-se à LGPD.

Dentre as várias etapas de operações de M&A, destacam-se as seguintes, na consideração de impactos da LGPD: valuation, due diligence e elaboração de documentos definitivos.

A valuation consiste na precificação da empresa-alvo. Em tal etapa, devem-se considerar todas as circunstâncias que possam interferir na formação do preço de venda. Nesse sentido, é importante verificar se a empresa já passou por um processo de adequação à LGPD e, em caso negativo, quais seriam seus custos (que podem ser elevados, a depender das necessidades de alteração de procedimentos e documentos internos etc.), se já ocorreram incidentes de segurança da informação pelos quais a adquirente pode vir a ser responsabilizada (como ocorreu, p. ex., no caso da rede de hotéis Marriott, responsabilizada por não ter investigado suficientemente a empresa Starwood antes de adquiri-la) e se o tratamento pretendido para a base de dados pessoais da empresa-alvo continuará sendo lícito, conforme as hipóteses permitidas pela LGPD.

Já na due diligence, que é o processo de auditoria da empresa-alvo, é relevante compreender e regular entre as partes como se dará o compartilhamento e a forma de análise de dados pessoais. Nesse sentido, é recomendável que as partes atentem especialmente para os seguintes pontos: necessidade de limitar o acesso aos dados pessoais da empresa-alvo àquelas pessoas que realmente precisam acessá-los; confirmação de que o compartilhamento de dados para fins da auditoria esteja de acordo com a LGPD; e inclusão de questionários sobre proteção de dados e rotinas da empresa-alvo, com o objetivo de identificar possíveis irregularidades que possam reduzir o preço da empresa-alvo.

Nota-se que a LGPD tem impactado processos de due diligence, tanto nos procedimentos a serem observados na sua condução pelas partes como na necessária aferição pela adquirente do grau de adequação da empresa-alvo à lei de dados ou, ao menos, das ações já adotadas em direção a uma adequação. Quanto à questão procedimental, passou a ser ainda mais relevante a inclusão de cláusulas, nos documentos preliminares (como, por exemplo, no acordo de confidencialidade ou na carta de intenções), estabelecendo o regime de responsabilização das partes em caso de infração da proteção de dados pessoais no decorrer da operação, incluindo a previsão de multas.

Finalmente, na fase de elaboração de documentos definitivos, quando são negociados os contratos que estruturarão a operação, sejam contratos de compra e venda de participação societária ou de ativos, o ponto principal diz respeito à alocação dos riscos de proteção de dados identificados na due diligence, através da definição contratual das responsabilidades das partes. Destaquem-se aqui a relevância de declarações e garantias e de cláusula indenizatória:

— Declarações e garantias: a empresa-alvo atesta e declara a sua situação em relação ao compliance de proteção de dados. São exemplos: declaração de conformidade com a LGPD, declaração de que a empresa não está sendo investigada pela ANPD (Autoridade Nacional de Proteção de Dados) por descumprimento das obrigações legais, declaração de que não existem impedimentos para a transferência de seu banco de dados à adquirente e, eventualmente, declaração de que existe na empresa-alvo uma segurança da informação razoavelmente aceita conforme os padrões do mercado. Outras questões podem ser adicionadas ou suprimidas, a depender do caso concreto.

— Indenização: através de cláusula indenizatória, o(s) vendedor(es) da empresa-alvo assume(m) responsabilidade de indenizar a adquirente por contingências relacionadas à proteção de dados. Com a entrada em vigor da LGPD, faz-se necessário que a adquirente avalie a necessidade de atribuir responsabilidade ao(s) vendedor(es) da empresa-alvo por desconformidades com a LGPD, seja por fatos ocorridos antes do fechamento da operação ou, ainda, por um período posterior adicional de transição.

Visto que a empresa adquirente em uma operação de M&A poderá ser solidariamente responsável por qualquer violação relacionada ao tratamento de dados pela empresa-alvo, seja antes ou após o fechamento da operação, é primordial que ela observe rigorosamente a LGPD. Deverá, portanto, além de realizar a due diligence da empresa-alvo com base na lei, incluir as necessárias cláusulas protetivas, tanto nos contratos preliminares como nos definitivos, e verificar o impacto de eventual não-adequação da empresa-alvo para sua precificação.

Fonte: Conjur

Redação
Redaçãohttp://www.360news.com.br
1º Hub de notícias sobre inovação e tendências da região Centro-Oeste e Norte do Brasil.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

LEIA MAIS

Recomendados