Regulação e Novas Tecnologias

Regulação e novas tecnologias

Na era dos dados, como ficam as operações de fusões e aquisições?

Notório que a due diligence com foco em segurança cibernética tem se tornado peça essencial quando assunto envolve M&A

previdenciário
Crédito: Pixabay

Os diversos escândalos de vazamento de dados de gigantes da era digital tais como Facebook, Uber, Netshoes, Banco Inter1 ganharam bastante destaque nos últimos anos, demonstrando que, cada vez mais, os dados vem ganhando papel central no cenário atual. Atrelado a isso, a recente divulgação do Mueller Report2, no qual o presidente Donald J. Trump foi acusado de desviar dados da pesquisa para manipular as eleições, comprova que os dados, atualmente, além de valor comercial adquiriram uma conotação política de notória importância, tornando-se ativos de extremo valor.

Nesse cenário, falar em privacidade dos dados e cybersegurança é tema indispensável. Sob este liame, enganam-se os gestores que adotam o pensamento de que estão protegendo suas empresas ao instalar um mero programa de antivírus que assegure o sistema contra ameaças virtuais como malwares e randomwares.

Com o crescimento tecnológico e surgimento de novas tecnologias, os sistemas [os riscos] de segurança estão cada vez mais complexos e negligenciar as devidas auditorias rotineiras pode acabar gerando muita dor de cabeça e determinando o futuro (o fracasso) da empresa.

Quando o assunto esbarra ainda em operações de fusões e aquisições – M&A’s – o tratamento não pode ser diferente. Conforme pesquisas divulgadas3, no último ano, cerca de 40% das empresas adquirentes envolvidas em uma transação de M&A relataram problemas de segurança cibernética durante a integração pós-aquisição da empresa adquirida. Assim, a operação que começa pelo mapeamento de riscos, ativos e passivos da empresa a ser adquirida, ganhou um novo red flag para sua complexa análise.

Ocorre que, esse novo processo de análise ainda está sendo um grande desafio para boa parte dos profissionais envolvidos no ramo, uma vez que estes, em geral, não compreendem quais são as verdadeiras ameaças de segurança cibernética ou não entendem os riscos específicos associados à empresa que será adquirida. É comum que advogados solicitem um checklist rotineiro e genérico relacionado à medidas de privacidade e de segurança de uma empresa e as preocupações com a segurança cibernética eram frequentemente incorporadas em questões sobre outras áreas de risco, mesmo quando esta não coleta ou manipula dados pessoais do consumidor.

Entretanto, a genericidade dessas condutas tem dado lugar a parâmetros legais mais rígidos, sobretudo com o advento da GDPR4 na Europa. Tal marco legal estabeleceu premissas como a obrigatoriedade do recolhimento do consenso do titular (consumidor) para tratamento de dados, transparência, e a imprescindibilidade do aviso às autoridades no caso de brechas cibernéticas. Com efeito, inobservâncias legais por parte das empresas podem levar a multas de até 4% da receita anual5, cujos valores, em determinados casos, podem ser estratosféricos, tornando o trabalho dos profissionais de M&A essencial no sentido de evitar que tal prejuízo recaia exatamente no comprador dos ativos.

Evidentemente, a controvérsia em torno da questão é muito abrangente, envolvendo discussões cruciais como (i) se os dados subjacentes ao ativo (por exemplo, dados de clientes ou fornecedores) podem ser vendidos e transferidos de uma forma direta, e (ii) se os dados representam um fator adicional independente ou diretamente relacionado na determinação valor de mercado de uma empresa; As restrições previstas na lei de proteção de dados frequentemente prejudicam os interesses legítimos do comprador quanto à divulgação de dados relevantes para realizar uma análise de risco e obter uma visão geral detalhada do panorama cyber/data security deve ser levado em conta ao adquirir uma empresa.

No mais, há certo consenso em relação a alguns procedimentos objetivos a serem adotados a fim de levar a cabo a data/cyber due dilligence, como (i) saber quais e como são os dados tratados – principalmente aqueles relativos aos consumidores, funcionários, business partners, e quais plataformas e websites utilizados pela empresa a ser comprada; (ii) identificar quem é o responsável pela governança e práticas de compliance na empresa; (iii) saber se a empresa mantém práticas de compliance em conformidade com a legislação de dados vigente; (iv) saber se a empresa tem algum tipo de seguro de data security (iv) analisar, juntamente com a empresa a ser comprada, a eventual ocorrência de vazamentos de dados pretéritos, suas razões e atitudes tomadas com intuito de prevenir reincidências.6

Ressalta-se ainda que, dentre as medidas essenciais está o incentivo aos debates envolvendo as possíveis consequências de um incidente de segurança cibernética, que como demonstrado pode afetar– e, até mesmo arruinar – o futuro de uma empresa adquirente. Para ratificar tal hipótese, basta imaginar a hipótese de uma empresa que realizou uma péssima divulgação pós vazamento de dados dos seus clientes. Como não alertar sobre a reputação e possíveis perdas no negócio?

Sem sombra de dúvidas, ameaças relativas a data/cyber security devem ser tratadas com mais seriedade, sobretudo no contexto atual, em que, segundo Patrícia Peck Garrido Pinheiro:

“60% das organizações nacionais não possuem programas para prevenir ameaças de acordo com a Global Information Security Survey (GISS). O Estudo anual da Ernst & Young aponta que 43% das empresas não têm um programa para identificação de vulnerabilidades e 45% não dispõem de nenhum tipo de programa para detecção de brechas.”7

Notório que a due diligence com foco em segurança cibernética tem se tornado peça essencial quando o assunto envolve operações de M&A. Na era dos dados, se torna mais que imprescindível a privacidade, a proteção, as políticas e os procedimentos de segurança de dados estarem no centro das atenções da governança.

Não bastasse isso, de igual modo, não se deve preterir o compliance, uma vez que falhas nessa seara pode acarretar em um grande desembolso dos compradores para mitigar os riscos regulatórios e contratuais para resguardar a privacidade da empresa adquirida.

Por fim, vale mencionar as palavras de Cristopher Graham, Comissário de Informação do Reino Unido:8The knock-on effect of a data breach can be devastating for a company. When customers start taking their business—and their money—elsewhere, that can be a real body blow.”

——————————————–

2 Vale ressaltar que ainda nada foi solucionado. De acordo com as reportagens, há indícios de troca de informações, mas nenhum parecer conclusivo ainda foi publicado. Disponível em: <https://www.reuters.com/article/us-usa-trump-russia-conspiracy-analysis/hints-but-no-proof-of-crime-in-muellers-hunt-for-a-trump-russia-conspiracy-idUSKCN1RQ0A7> Acesso em 26.04.2019.

4 General Data Protection Regulamentation

6 http://www.bakerbotts.com/insights/publications/2018/12/lessons-in-data-protection

7 PINHEIRO, Patrícia Peck Garrido, Direito Digital Aplicado 3.0 – Os perigos da nova rua digital, pag. 86, 2018, Thomson Reuters, Revista dos Tribunais


Faça o cadastro gratuito e leia até 10 matérias por mês. Faça uma assinatura e tenha acesso ilimitado agora

Cadastro Gratuito

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito