A Lei Geral de Proteção de Dados – LGPD entrou em vigor no ano de 2020, motivada pela pandemia do coronavírus, afetando todo tipo de negócio no país.
A lei regulamenta o tratamento de dados pessoais, aplicando gravíssimas sanções para as empresas que descumprirem as novas regras.
Para dar uma trégua, as multas serão aplicáveis a partir deste ano de 2021, mas é de extrema importância que todos conheçam como vai funcionar para adotarem as respectivas medidas de adequação em tempo hábil.
Ademais, as negociações de fusão e aquisição de empresas, por envolverem uma série de dados em tratamento, merecem especial atenção, para fins de adequação à Lei, sob pena das empresas envolvidas na operação serem duramente penalizadas por não realizarem o tratamento correto.
Confira a seguir tudo sobre o tema e tire todas as dúvidas relacionadas ao tema.
Entenda o que é LGPD
A Lei Geral de Proteção de Dados (Lei n 13.709/2018) regulamenta o tratamento de dados pessoais.
O tratamento de dados pessoais é definido pela lei como a utilização, no sentido amplo da palavra, de informações que possam identificar quem é o titular, ou seja, o proprietário destes dados.
De forma simplificada, o RG, o CPF, o endereço, telefone e e-mail, são informações que identificam a pessoa titular, não é mesmo?
Porém, a lei entende que existem outros dados detalhados que merecem proteção maior.
São dados específicos que podem identificar o proprietário, como questões religiosas, físicas, biológicas, psicológicas, dentre outras.
A lei surgiu, portanto, para regulamentar e assegurar a utilização dos dados pessoais, motivo pelo qual, a partir de agora, serão fiscalizadas as empresas e pessoas físicas que realizam o tratamento de dados.
O principal objetivo é garantir maior segurança aos consumidores e empresas relativamente ao uso de dados. Em razão disso, estão previstas normas para responsabilizar todos os envolvidos na troca de informações desenfreada.
As novas regras visam a proteção dos dados e o impedimento do “mau uso” dos dados pessoais, de forma que possam prejudicar os consumidores no futuro.
Impactos da LGPD nas fusões e aquisições de empresas
Antes de adentrarmos nos impactos da LGPD nas fusões e aquisições de empresa, é importante esclarecer algumas coisas.
A lei define os tipos de dados e qual o nível segurança do tratamento. São eles:
Dados pessoais não sensíveis (públicos): São as informações pessoais de cada indivíduo, como RG, CPF, endereço, nome completo, telefone. A LGPD define as situações que essas informações podem ser tratadas pelas empresas.
Dados pessoais sensíveis: são aqueles relacionados às características físicas ou comportamentais, ou seja, à biologia ou escolhas da pessoa, como: religião, origem racial e étnica, opinião política, dados referentes à saúde e vida sexual. Informações que podem expor uma pessoa.
Dados anonimizados: São as informações que não identificam a pessoa, de forma individual.
Importante saber quais são as definições de dados porque, isoladamente, a informação pode não identificar uma pessoa. Por outro lado, se outros dados conectados tornarem possível a identificação, o tratamento de dados se insere nas novas normas.
Além disso, a lei considera (art. 5, incisos V ao VIII):
- o titular do tratamento de dados como a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
- o controlador como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
- o operador como a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
- o encarregado como a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
E por que isso é importante?
Porque a responsabilização pelo mau uso dos dados pessoais poderá ser aplicada tanto ao titular, quanto às pessoas que acessarem os respectivos dados com autorização daquele.
Daí a importância de serem tomados os cuidados no momento da fusão ou aquisição de empresas.
O processo de fusão e aquisição não é simples e geralmente ocorre por meio do “due diligence”, que corresponde a um tipo de investigação para averiguar a viabilidade de um futuro negócio.
Neste procedimento, é imprescindível que documentos sejam analisados, assim como fatores específicos da empresa alvo, como faturamento, existências de vínculos trabalhistas, existência de dívidas e etc.
Necessariamente, o interessado no negócio deverá acessar uma série de informações e, de acordo com a LGPD, devem ser tratados de forma correta, conforme cada tipo de definição de dado, para evitar imposições de penalidades pelo uso indevido de informações.
É recomendável, por tal razão, que seja lavrado um termo de confidencialidade sobre o compartilhamento de informações e até mesmo sendo possível dispor sobre pagamento de indenização na eventual responsabilização da empresa interessada, pela empresa alvo, pelo tratamento indevido ou incorreto de dados.
Conforme exposto acima, existem definições de dados pessoais, a ideia é que, quando possível, os dados preferencialmente sejam anonimizados, evitando a responsabilização futura por descumprimento da LGPD.
Quanto menor o índice de dados identificáveis, menor o risco.
Mecanismos de proteção de dados
De início, é importante que, na medida do possível, apenas as informações relevantes e menos identificáveis sejam compartilhadas.
Sabe-se que o processo que antecede a fusão ou aquisição de empresas não é simples, até mesmo porque a união de duas empresas ou a compra de uma deve ser analisada profundamente.
O procedimento “due diligence” muito utilizado na fase anterior ao fechamento do negócio é necessário e implica na análise de diversas informações da empresa alvo, como de vínculos trabalhistas, faturamento, informações de clientes e fornecedores, dentre outras.
Assim, alguns mecanismos de proteção de dados devem ser utilizados, sob pena de responsabilização por descumprimento da LGPD.
Lembrando que qualquer pessoa que acessar as informações compartilhadas pode responder pelos prejuízos causados ao titular de dados.
Alguns exemplos de medidas para proteção de dados:
- Anonimização: se existirem dados pessoais que identifiquem os titulares, recomenda-se a anonimização, a fim de que estejam seguros pelas regras da LGPD;
- Não sendo possível a anonimização, podem ser realizados contratos preliminares, termos de confidencialidade ou responsabilidade, assinados por ambas as partes envolvidas, de modo que esteja disposta a permissão para o acesso de dados pela empresa alvo, assim como eventual responsabilidade por indenizações concedidas em desfavor da empresa interessada na fusão ou aquisição.
Certamente, cada caso deve ser avaliado, a fim de serem implementadas garantias aos envolvidos. O mais importante é conhecer as regras da LGPD e como cumpri-las sem maiores dores de cabeça.
Negociações de participação societária
Negócios que envolvem participações societárias são conhecidos como M&A (Mergers and Aquisitions) que, traduzindo, significa “fusões e aquisições”.
Conforme exposto anteriormente, o processo anterior à fusão ou aquisição de empresa é delicado e cauteloso, sendo essencial a realização do procedimento “due diligence” para averiguação da viabilidade do fechamento do negócio, ou seja, se é benéfico ou não.
Nesta etapa, muitos dados e informações devem ser compartilhados, de modo que a empresa interessada consiga de fato analisar se está tratando de um bom negócio ou não.
Todavia, com a publicação da LGPD, todo cuidado é pouco, pois quaisquer pessoas que acessem os dados compartilhados pela empresa alvo de negociação, podem ser responsabilizadas pelo descumprimento da lei.
Relação do Due Diligence com a LGPD
Puxando o gancho do “due diligence” para os negócios de fusão e aquisição de empresas, entende-se pertinente esclarecer a relação do procedimento investigatório com a LGPD.
Troca de informações trabalhistas
A principal informação que uma empresa interessada na fusão ou aquisição de outra deve obter, diz respeito aos vínculos trabalhistas.
Isso porque as obrigações trabalhistas são assumidas pela empresa que adquire outra, não existindo isenção de responsabilidade.
Assim, o passivo trabalhista é um dos primeiros pontos que devem ser analisados.
E por tal razão, por serem dados pessoais de trabalhadores, gestores e até mesmo de sócios da empresa alvo, devem estar de acordo com a LGPD.
O uso indevido destes dados pode acarretar na responsabilização de quem os trata, independentemente se houve fechamento da operação. Por isso tamanha importância.
Troca de informações de clientes e parceiros
Da mesma forma que as informações de vínculos trabalhistas, os dados de clientes e parceiros devem ser resguardados.
Unificação de banco de dados em fusões e aquisições de empresas
Uma das medidas de segurança e proteção de dados que pode ser aplicada é a unificação de banco de dados em fusões e aquisições de empresas.
Isso porque todos os dados acessíveis relacionados à operação de negociação de participações societárias vão ser facilmente detectáveis, podendo ser oferecido o devido tratamento, conforme dispõe a LGPD.
Responsabilidade por violações prévias
Um ponto crucial sobre a responsabilização pelo tratamento de dados pessoais diz respeito ao período anterior ao fechamento do negócio.
Certo é que no procedimento “due diligence” muitas informações serão acessadas, motivo pelo qual recomendamos a elaboração de termo de confidencialidade, não é?
No entanto, é importante estar disposto no contrato da operação a responsabilidade por violações da LGPD prévias.
É um fator extremamente importante para resguardar que as empresas interessadas na fusão e aquisição de outra empresa fiquem resguardadas quanto ao descumprimento da lei no período anterior ao fechamento do negócio.
Contrato de operação de fusões e aquisições de empresas
A elaboração do contrato de operação M&A é de salutar importância, especialmente no quesito prevenção de riscos por violação da LGPD.
Assim, temos dois pontos relevantes a serem dispostos e negociados em contrato, confira.
Garantias prestadas
É essencial estabelecer quais foram as garantias prestadas para a regularização da LGPD no interior da empresa antes do fechamento da operação, minimizando os riscos dos novos detentores do empreendimento.
Mecanismos de responsabilização
Do mesmo modo, é imperioso dispor em contrato os mecanismos de responsabilização pelo tratamento indevido no período que antecede o fechamento da operação, com previsão de eventual indenização na hipótese da empresa adquirente ser responsabilizada ou, até mesmo, de ser chamada a empresa alvo para assumir a responsabilidade.
Tais disposições trarão maior segurança jurídica nestas operações.
Penalidades pelo descumprimento da LGPD
Segundo o art. 52, da LGPD:
“Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Além das sanções administrativas, o art. 41, da LGPD, dispõe que “O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo” mediante pagamento de indenização ao ofendido.
Percebe-se que as penalidades são gravíssimas a quem descumprir a LGPD, sendo certo que prevenir é o melhor caminho.
Ainda tem dúvidas sobre o assunto? Deixe seu comentário, será um prazer lhe orientar.
