Consequências da LGPD para as operações de M&A

A recente entrada em vigor da LGPD tem o potencial de causar uma série de impactos nas operações de fusões e aquisições (M&A). As mudanças são inúmeras, afetando desde os aspectos da própria concretização dessas operações até os processos preliminares de due diligence para a negociação e precificação dos ativos.

Due diligence é o processo de auditoria feito antes de um M&A, por meio do qual são analisados vários aspectos da empresa adquirida, tais como sua situação contábil, tributária, trabalhista e financeira. Com isso, é possível que a empresa compradora tenha melhores informações sobre o negócio que adquirirá, de modo a conseguir precificá-lo de maneira mais precisa.

Na economia digital, bases de dados de clientes exercem um papel relevante no valor da empresa adquirida. Nesse contexto, a LGPD impõe uma série de obrigações que as empresas devem cumprir quanto à proteção de dados pessoais de seus clientes e funcionários. E os controladores de dados - nome dado para a empresa que controla o tratamento de dados pessoais - estão sujeitos a uma série de consequências em caso de descumprimento de tais obrigações. Dessa forma, o descumprimento dos deveres de proteção de dados pode acarretar responsabilidade civil (pagamento de indenizações a título de danos morais e patrimoniais) e administrativa (pagamento de multas e aplicação de duras sanções administrativas), conforme os artigos 42 e 52 da lei.

Logo, a aquisição de uma empresa que não atua em conformidade com a LGPD traz consigo risco de prejuízos futuros. Desse modo, é necessário que o processo de due diligence considere também o compromisso com proteção de dados da empresa que se pretende adquirir. Portanto, as políticas de governança de dados passam a ser elementos muito importantes para o valuation das companhias. Vale dizer, a normas da LGPD interferem no valor das empresas. É conhecimento básico de mercado o fato de que ativos que trazem consigo maior risco têm uma diminuição no seu valor líquido.

A questão que fica é como precificar esse risco. Serão suficientes as usuais declarações e garantias sobre inexistência de responsabilidades ou haverá a necessidade de se aprofundar a diligência sobre o tratamento de dados?

Se por um lado é certo que a empresa compradora busca se resguardar daquilo que é desconhecido (os riscos de prejuízo ainda não materializados) exigindo declarações e garantias, por outro lado a responsabilidade acarretada pela LGPD é da própria empresa que trata os dados. Por isso, se o seu controle mudar, serão os novos controladores que correrão os riscos de responsabilização. Logo, pode-se antecipar que as diligências incorporarão preocupações com o tratamento de dados. Contudo, a própria diligência deve observar os preceitos da LGPD. Ao obter dados de funcionários ou sobre como a vendedora trata os dados pessoais de clientes e parceiros, a empresa compradora usa os dados fornecidos (ou até mesmo armazena estes). Isto é, está tratando estes dados. Será que esse tratamento deve ser feito, nos termos do art. 7°, I, da LGPD, com consentimento expresso do titular? Parece-nos que a compradora pode tratar os dados no contexto da operação, ou seja, com base no seu "legítimo interesse", o que dispensa o consentimento do titular dos dados nesta etapa de acordo com a LGPD.

Portanto, em operações de M&A as declarações da empresa vendedora, indicando que trata os dados de seus clientes e funcionários conforme a LGPD, são de grande relevância, pois permitem alocar riscos decorrentes da forma de tratamento dos dados. Nessa dinâmica, o preço desempenhará um elemento fundamental, por refletir o risco apontado nas declarações realizadas. As empresas que derem declarações e forem conhecidas por um bom tratamento de dados valerão mais. Já as vendedoras mais "obscuras" deverão reduzir o seu preço.

É muito importante projetar os mecanismos contratuais nos próximos M&As para lidar com as novas dinâmicas que a proteção de dados trará. E também há tempo para isso, já que as multas (prestação pecuniária mais volumosa que a infração da lei pode causar) só começarão a ser aplicadas em 2021, de acordo com o art. 65, I-A, da LGPD.