LGPD e M&A – Impactos da “Nova” Legislação nos Projetos de Negociação de Participação Societária

Nossa Equipe vem publicando conteúdos relacionados à Lei Geral de Proteção de Dados (a “LGPD” – Lei nº 13.709/2018) e os seus reflexos no cotidiano de todos em geral.

A LGPD cria mecanismos de controle e proteção dos dados pessoais, define quem são os responsáveis pelo trato dos dados pessoais e, especialmente, cria penalidades para infração às disposições que prevê.

Com o início de sua vigência, em agosto de 2020, operadores e controladores (figuras criadas e definidas pela lei) de dados pessoais passam a responder diretamente por violações ou falta de adequações especificadas na LGPD.

Nesse contexto, apontamos alguns impactos que a LGPD causará nas operações envolvendo negociações de participação societária (chamadas comumente de operações de “M&A”[1]).

Já de início, há impactos muito relevantes da LGPD nos processos de M&A, antes mesmo de as operações serem concretizadas.

Como já tivemos oportunidade de publicar neste espaço, as análises e investigações prévias (procedimento conhecido por Due Diligence[2]) são práticas quase obrigatórias nas operações de M&A. Afinal, antes de adquirir participação societária ou fundir operações, é fundamental que o investidor tenha conhecimento de informações inerentes à sociedade alvo da qual passará a ser sócio.

No âmbito de um processo de Due Diligence é lugar comum a troca de informações sobre aspectos trabalhistas e recursos humanos da sociedade alvo do investimento em negociação. Também é muito comum o compartilhamento de informações relativas a carteira de clientes e parceiros de negócios, tudo isso na fase de análises prévias à conclusão de um negócio de M&A.

Pois já aí a LGPD pode trazer problemas aos envolvidos na operação (tanto ao investidor quanto à sociedade alvo). Isso porque os dados pessoais que compõem as bases de dados analisadas, em sede de Due Diligence, são passíveis de proteção pela LGPD.

O potencial investidor que tem interesse em uma fusão ou aquisição, quando manuseia dados pessoais contidos na folha de pagamento da sociedade alvo, passa a responder por eventuais infrações à LGPD, mesmo antes de fechar qualquer negócio.

Isso porque o investidor e todo o aparato terceirizado que o assistir (como por exemplo sociedades de advogados, consultores e auditores) assumem a posição de operadores de dados pessoais no exato momento em que lhes é disponibilizada tal base de dados.

Para que essa contingência seja equacionada entre os envolvidos no processo de M&A é fundamental que os instrumentos preliminares ajustados entre eles (Memorando de Entendimentos, Carta de Intenções, Contrato Preliminar ou algo que o valha) estabeleçam claramente as condições em que as base de dados que contém dados pessoais serão compartilhadas, bem como a disciplina de responsabilização entre os interessados em caso de infração à LGPD. Adicionalmente, é fundamental que sejam disponibilizados, no âmbito da diligência, apenas dados estritamente essenciais, sujeitando-se quaisquer outros a técnicas e procedimentos de anonimização.

Ainda, medidas que geralmente já vinham sendo adotadas nesses procedimentos preliminares (como a assinatura de termos de confidencialidade pelos envolvidos e seleção de ferramentas seguras de data room) passarão a ser mandatórias, sobretudo por conta do aspecto da LGPD relacionado à segurança dos dados pessoais tratados.

Outro foco de atenção que surge a partir da LGPD em procedimentos de Due Diligence passa a ser a realização de investigação prévia sobre a conformidade em proteção e segurança de dados pessoais da sociedade alvo, especialmente para viabilizar que tal matéria seja endereçada nos instrumentos definitivos.

Isso porque superadas as fases e análise preliminares de uma operação de M&A, passando-se à efetivação do negócio (fusão ou aquisição concluídas e concretizadas), a LGPD continua impactando muito fortemente as operações.

Como resultado do processo de M&A (seja comprando, seja fundindo), o investidor assume todo o legado dos dados pessoais criado pela sociedade alvo. Qualquer que seja a forma como a sociedade tiver coletado e tratado dados pessoais antes da fusão/aquisição, o investidor passa a responder diretamente por violações à LGPD que tenham ocorrido antes da sua admissão na sociedade.

Igualmente nessa situação, o contrato que formalizar a concretização da operação de M&A deve prever em detalhes a disciplina dos aspectos de proteção de dados, desde as declarações e garantias prestadas pelas partes do negócio, até mesmo os mecanismos de responsabilização contratual em casos de violação da LGPD.

Enfim, trata-se de temas que mesmo antes da entrada em vigência da LGPD já preocupam os players do segmento de M&A. Certamente será criada uma nova frente nos processos de fusão e aquisição destinada à proteção de dados e sua disciplina.

[1] “M&A” é a sigla utilizada para a expressão em inglês Mergers and Aquisitions (fusões e aquisições em tradução livre).

[2] Devida Diligência, em tradução livre.