Essa pergunta pode trazer muitas indagações sobre o que fazer num momento de fusão e aquisição em uma empresa. A adequação à Lei Geral de Proteção de Dados (LGPD) para as empresas tem sido um assunto pertinente desde setembro do ano passado, se intensificando em agosto deste ano, quando as sanções administrativas começaram a ser aplicadas.
Rever os processos de documentação na empresa que está em processo de negociação, seja com fusão ou aquisição, é de suma importância e zelo com a governança local. Cabe lembrar que toda empresa possuí sua cultura, costumes e ordens que precisam ser adequados para segurança de ambas, tanto para quem está vendendo, quanto para quem está adquirindo ou passando por uma fusão. A regra é clara para todos e, por ser tratar de uma lei, manter-se em dia com a legislação permitirá que futuramente problemas com proteção e segurança de dados não ocorram.
Você já ouviu falar em Due Diligence?
Due diligence nada mais é que um processo que precisa acontecer antes de uma adequação como a LGPD. Se trata de um trâmite analítico e investigativo sobre as informações de uma empresa. Seu foco é buscar a verificação da empresa quanto as informações entre societários conforme fusão, incorporação, aquisição, parcerias, para que seja feito um relatório de análises sobre riscos antecipados. Com a audição técnica sobre essa avaliação, como a saúde financeira e contábil da empresa, questões jurídicas e, inclusive, se já está adequada à LGPD. Uma conclusão sobre as condições das empresas em negociação será atualizada, sem que haja surpresas pelo caminho.
Num relatório, será exposto como a empresa teve contato e como lidou com questões de segurança, se foi atingida, até onde se sentiu frágil em determinada situação, se em sua cultura há um sistema ou adequação para proteção de dados pessoais, além de outros cuidados analisados com o Due Diligence.
Especialista orienta sobre o assunto
Sabemos que a pandemia trouxe várias fusões entre empresas e, também, aquisições de empresas já existentes. Para esclarecer sobre fusão e adequação perante à LGPD entre organizações, convidamos a sócia da Lee, Brock, Camargo Advogados e especialista em LGPD, Lorena Carneiro, para falar sobre o assunto.
A entrada em vigor da Lei 13.709/2018, a Lei Geral de Proteção de Dados (LGPD), trouxe um aumento significativo de importância dos dados pessoais com relação às transações de M&A. Em particular, o processo de Due Diligence de uma empresa está sujeito a novos requisitos e padrões, na medida em que se as atividades de tratamento de dados da empresa em avaliação não estiverem de acordo com a LGPD há um aumento de riscos significativos.
Diante desse cenário, alguns cuidados precisam ser adotadas nas operações:
- Realizar ou consultar o assessment de dados pessoais. Por meio desse levantamento será possível dimensionar o volume de dados tratados e a quantidade de titulares envolvidos;
- Acessar todos os documentos de proteção de dados relevantes, como políticas e procedimentos, diretrizes, Acordos de Processamento de Dados (Data Processing Agreement), contratos e termos firmados;
- Verificar as informações relacionadas às medidas técnicas e organizacionais adotadas nas atividades de tratamento de dados;
- Elencar todos os sistemas utilizados nas atividades de tratamento de dados;
- Verificar quem são os Operadores e Suboperadores envolvidos nas operações e os termos em que foram estabelecidas as atividades de tratamento de dados pessoais;
- Consultar o histórico de incidentes com dados pessoais e as comunicações relacionadas à Autoridade Nacional de Proteção de Dados e outros órgãos, e aos titulares dos dados;
- Relacionar as informações sobre quaisquer processos judiciais ou administrativos relacionados à LGPD;
- Levantar o fluxo de atendimento às demandas de titulares existentes e as áreas envolvidas no atendimento.
- Verificar a estrutura de privacidade existência, se há um Encarregado pela Proteção de Dados nomeado e um Comitê de Privacidade atuante;
- purar se há necessidade de cumprimento de outras legislações sobre proteção de dados, nos casos em que há operações envolvendo transferência internacional de dados.
Ao abordar operações de M&A é importante considerar que as práticas de privacidade e proteção de dados não são mais opcionais. A conformidade com a LGPD coloca-se como uma obrigação legal, uma forma de mitigar riscos, garantir a integridade da organização pós-fusão ou aquisição e um definidor quanto à confiança que clientes e parceiros estão dispostos a depositar nela. Incorporar a análise quanta às práticas envolvendo dados pessoais no processo de Due Diligence melhora significativamente as chances de um negócio bem sucedido.
Veja mais sobre adequações à LGPD aqui
