Opinião & Análise

LGPD

Proteção de dados, due diligence e novos negócios

A importância da proteção de dados pessoais em operações de M&A e no desenvolvimento de novos negócios

Banco Central do Brasil
Crédito: Nicolas Camaret/Flickr

Em que pese as inconstâncias a respeito da efetiva data de entrada em vigor da Lei 13.709 de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), a proteção de dados pessoais é um tema cada vez mais relevante mundialmente, inclusive para novos negócios e para a operacionalização de transações societárias[1].

Isso ficou ainda mais nítido com a recente suspensão preliminar da operação do “WhatsApp Pagamentos” no Brasil pelo Banco Central, com o próprio presidente do BC destacando que o serviço pode ser liberado no país, desde que comprove, dentre outros aspectos, a proteção de dados pessoais.

No caso de operações de M&A, em estudo internacional realizado pela Forescout Technologies, Inc.[2], 53% dos entrevistados relataram que sua organização encontrou problemas ou incidentes críticos de segurança durante uma transação, resultando em risco para o negócio.

O estudo também constatou que cerca de 40% das compradoras envolvidas em uma operação de M&A relataram problemas de segurança cibernética durante a integração pós-aquisição da empresa-alvo (o que poderia, no cenário ideal, ter sido constatado antes da transação).

Com base nos dados apontados, não é difícil verificar que modelos de negócio (novos ou consolidados) concebidos ou implementados sem preocupação com a proteção de dados, estarão cada vez mais em desvantagem comercial – razão pela qual o “privacy by design“, ou seja, considerar a proteção de dados desde a concepção de produtos, negócios e serviços, será cada vez mais necessário.

Um caso europeu ilustra bem a situação crítica enfrentada por aqueles que não avaliam a questão com profundidade. A autoridade de proteção de dados do Reino Unido (Information Commissioners Office – conhecida como ICO) emitiu parecer para multar um grande rede hoteleira no valor de £ 99.2 milhões, em procedimento que envolveu a aquisição de empresa do mesmo setor no ano de 2016.

A multa foi relacionada a um incidente de segurança que afetou a referida Target de 2014 a 2018. A ausência de uma avaliação adequada, ao realizar a aquisição, foi uma das justificativas, na ótica da referidade autoridade, para aplicação da intenção de penalidade ao grupo empresarial:

As organizações devem ser responsáveis pelos dados pessoais. Isso pode incluir a devida diligência ao realizar uma aquisição societária e a implementação de medidas de responsabilidade adequadas para avaliar não apenas quais dados pessoais foram adquiridos, mas também como eles são protegidos.”

Elizabeth Denham, UK Information Commissioner (ICO) (tradução livre).

Assim, inclusive com base na experiência internacional, podemos notar a imprescindibilidade da avaliação das práticas de proteção de dados em transações comerciais e condução de due diligences, sendo um ponto de partida para a análise são documentos como, políticas de privacidade, políticas de gestão de incidentes, relatórios da auditoria interna ou externa, códigos de conduta, check list de terceiros[3], principais contratos da Target que envolvam dados pessoais e até as apólices de seguros que protejam a empresa de eventuais incidentes.

Importante, também, o entendimento sobre a existência de procedimentos para gerenciamento de riscos e relatório de impacto à proteção de dados pessoais, aspectos de transferências de dados pessoais a terceiros e formas de retenção e descarte desses dados, bem como gerenciamento de processos em geral e de concepção de novos projetos considerando aspectos de proteção de dados pessoais.

Ademais, processos administrativos ou judiciais em andamento e findos que envolvem a empresa, relacionados ao tema, também devem ser avaliados para verificar se a conduta que os originou foi satisfatoriamente sanada.

A Due Diligence deve, sempre que possível, ir além de um mero exame documental, sendo salutar a realização de entrevistas para aferição de possíveis inconsistências entre o que foi documentado e o que realmente é praticado pela Target, especialmente em modelos de negócio data driven, ou seja, baseados em dados.

Para o potencial comprador, as constatações trazidas pela Due Diligence devem ser analisadas com base no seu “apetite de risco” e levando-se em consideração os esforços que serão necessários para reestruturar ou implementar medidas adequadas para o cumprimento da LGPD (isto é, um plano de remediação posterior ao closing).

Até mesmo a real necessidade de retenção dos dados pessoais existentes, para a manutenção do business que se pretende adquirir, deverá ser analisada.

Outro aspecto que não pode ser ignorado é a análise de eventuais impactos concorrenciais da operação. Apesar de muito já se discutir sobre a necessidade de convergência entre a Autoridade Nacional de Proteção de Dados (ANPD) e o Conselho Administrativo de Defesa Econômica – Cade (além das demais entidades), fato é que ainda não se definiu como será realizada essa análise e relação entre as entidades, já que a ANPD sequer está formada e em atuação.

Apesar desse cenário, já se percebe uma movimentação, em especial do Cade, para endereçar o tema, como a abertura de processos seletivos para contratação de consultores para elaboração de estudos e a busca da entidade pelo aprofundamento do entendimento sobre concorrência e proteção de dados, incluindo questões de cartéis e concorrência em mercados digitais.

Por fim, é importante ressaltar que, no contexto atual (que antecede a plena vigência da LGPD), o nível de adequação constado pode não ser o mais satisfatório, não apenas pelo pouco tempo de discussão prática a respeito do tema da proteção de dados no Brasil, mas também pela ausência da atuação da ANPD[4] que, ao não iniciar suas atividades, deixa de pacificar e regulamentar questões existentes no mercado, bem como endereçar os pontos pendentes de regulamentação estabelecidos em lei (por exemplo, padrões e técnicas utilizados em processos de anonimização, conteúdo de mecanismos de transferência internacional e avaliação do nível de proteção de dados pessoais de outros países) – sendo de suma importância que a ANPD seja devidamente constituída e passe a instruir e regulamentar a questão no país o quanto antes.

 


[1] Disponível em: <https://www.jota.info/opiniao-e-analise/colunas/regulacao-e-novas-tecnologias/na-era-dos-dados-como-ficam-as-operacoes-de-fusoes-e-aquisicoes-04052019>. Acesso em 20 de julho de 2020.

[2] Pesquisa Forescout Technologies, Inc. Disponível em: <https://www.forescout.com/solutions/asset-management/merger-and-acquisition-cybersecurity-report/>. Acesso em 10 de maio de 2020.

[3] A checklist ou avalição de terceiros é relevante  no processo de compliance de proteção de dados das empresas e entidades em geral, já que a LGPD traz, em algumas circunstâncias, a responsabilidade solidária entre os agentes de tratamentos, sendo, assim, de suma importância que se faça uma análise pormenorizada de todo o ecossistema de entidades parceiras, operadores e co-controladores que possam integrar o ciclo de vida e tratamento dos dados pessoais em questão.

[4] No momento da redação do presente texto, ainda está pendente a indicação e formação do corpo diretor da Autoridade Nacional de Proteção de Dados e de grande parte do Conselho Nacional de Proteção de Dados Pessoais. Para mais informações sobre a insegurança jurídica da ausência da ANPD: <https://www.jota.info/opiniao-e-analise/artigos/anpd-lgpd-problema-solucao-06012020>. Acesso em 20 de julho de 2020.


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito