Gabriel Ribeiro Magalhães
João Pedro Rocha Oliveira
Recentemente entrou em vigor a Lei Geral de Proteção de Dados[1] (LGPD), que instituiu o regime de proteção de dados pessoais em território nacional. Foi amplamente inspirada no General Data Protection Regulation (GDPR), diploma normativo de proteção de dados pessoais da União Europeia.
A lei criou diversas exigências sobre como empresas devem tratar dados pessoais, tanto de seus empregados quanto de seus consumidores. Isso resulta em uma série de implicações para o mercado de fusões e aquisições (M&A, na sigla em inglês), incluindo requisitos a serem cumpridos para viabilizar a transferência de dados.
A principal limitação criada pela LGPD às operações de fusões e aquisições está posta pela combinação entre os arts. 5º, VI, art. 7º, I, art. 8º, § 6º e art. 9º, III. O primeiro destes dispositivos estabelece o que é um controlador de dados pessoais[2], definição na qual uma empresa que controla dados de clientes definitivamente se encaixa.
O segundo determina que o tratamento de dados só pode ocorrer mediante consentimento do titular. O terceiro dispositivo define que, na ocorrência de determinadas alterações no controlador, o titular dos dados deve, necessariamente, ser informado e terá a prerrogativa de revogar seu consentimento, nas hipóteses em que este era necessário[3].
O último dispositivo, por sua vez, pontua uma das alterações mencionadas no art. 8º, § 6º, qual seja, a mudança na identificação do controlador.
Assim, pode-se concluir a partir destas normas que, havendo uma operação societária que mude a identificação do controlador, o titular deve necessariamente ser informado.
O simples dever de informar já representa um custo adicional, não sendo, no entanto, a incumbência mais custosa: é a possibilidade, nos casos em que é necessário o consentimento, de o titular revogá-lo ao ser informado. Isso poderia resultar em uma grande diminuição da base de dados, consequentemente desvalorizando-a.
Em situações em que a base de dados é parte expressiva do valor do ativo adquirido, cria-se o risco de que, logo após a aquisição, o ativo em questão perca parte significativa do seu valor. A mera existência desse risco pode inviabilizar certas operações, ou, ainda pior, fazer com que operações que de fato aconteçam tornem-se fontes de significativos prejuízos para o adquirente.
Outro fator que pode ser prejudicial para as companhias adquirentes é que, em processos de fusão ou aquisição, o adquirente assume o histórico de tratamento de dados da sociedade fundida ou adquirida, respondendo pelas violações à LGPD ocorridas antes da operação[4].
Ressalta-se, portanto, a necessidade de um processo de due diligence rigoroso, que leve em conta o legado de dados da empresa alvo, os tipos de dados a serem transferidos e o objetivo do tratamento desses dados, adequando a operação desde o início, com uma abordagem de privacy by design.
Afinal, caso o objetivo do tratamento de dados seja alterado, o titular deve ser avisado e também tem possibilidade de revogar seu consentimento, como versa o art. 9º, § 2º da LGPD.
As limitações supracitadas tornam o processo de fusões e aquisições mais complexo e custoso, demandando novas etapas nos procedimentos de diligência, criando situações de possível desvalorização do ativo (no caso de os ativos serem os dados) e trazendo novos riscos por eventuais violações à LGPD[5].
Isso, ao alterar o preço de uma operação (em relação ao valor do ativo), muda o ponto de equilíbrio entre oferta e demanda, de forma que pode levar a uma diminuição no número de operações efetivamente concretizadas.
A mudança no equilíbrio da oferta e demanda resulta em uma alteração na eficiência relativa entre as diferentes operações societárias, aumentando o valor de uma sobre as outras. Qualquer operação que altere o controlador de dados abarca consigo todos os riscos e deveres colocados até então.
No entanto, mantendo-se o controlador, afastam-se as disposições do art. 8º, § 6º e do art. 9º, III e § 2º da LGPD, não obstante ainda ser necessário o processo de diligência rigoroso e cauteloso. A operação societária que mantém o controlador de dados é a compra do controle acionário, pois altera-se a estrutura interna da empresa, mantendo-se, para fins de controle de dados, a mesma pessoa jurídica.
Pode-se concluir, em decorrência do que foi exposto neste breve artigo, que a LGPD criou diversas complicações para o mercado de fusões e aquisições, aumentando custos e criando algumas distorções. Para lidar da melhor forma possível com este novo cenário, os participantes, de escritórios de advocacia às próprias empresas, terão que se adaptar rapidamente a estas novas mudanças.
O episódio 48 do podcast Sem Precedentes faz uma análise sobre a atuação do Supremo Tribunal Federal (STF) em 2020 e mostra o que esperar em 2021. Ouça:
[1] Lei nº 13.709, de 14 de agosto de 2018, que passou a vigorar em 18 de setembro de 2020.
[2] Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
[3] A regra é a necessidade de consentimento, estando as exceções dispostas no art. 7º da LGPD.
[4] DE PÁDUA, Mateus Alquimim. LGPD e M&A – Impactos da “Nova” Legislação nos Projetos de Negociação de Participação Societária. De Pádua Advogados. Disponível em: <https://depaduaadvogados.com.br/Publicacoes/lgpd-impactos-projetos-negociacao-participacao-societaria/>. Acesso em 20 de outrubro de 2020.
[5] As sanções para o descumprimento das determinações da lei estão indicadas em seu art. 52 e incluem multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício.