Quarta-feira, 16 de outubro de 2019

ISSN 1983-392X

A importância no tratamento de dados pessoais em operações de fusão e aquisição de empresas

Pedro Nachbar Sanches e Paulo de Oliveira Piedade Vidigal

Atualmente, um dos pontos mais sensíveis na realização de um processo de fusão e aquisição é a possível quebra de promessa de privacidade com o titular dos dados pessoais.

sexta-feira, 29 de junho de 2018

Mesmo em plena crise financeira, agravada para o setor industrial brasileiro desde o início de 2015, as operações de compra e venda entre empresas estão em constante ascensão, principalmente dentre o setor de empresas de tecnologia da informação, o qual concretizou 104 operações no ano de 2017.1

De acordo com o relatório Mergers & Acquisition, elaborado pela KPMG no último trimestre de 2017, foram contabilizadas 830 (oitocentas e trinta) operações de fusões e aquisições concretizadas entre todos os setores da indústria, número 12% maior se comparado ao ano de 2016. Desse número, 378 (trezentas e setenta e oito) operações foram domésticas, ou seja, envolvendo apenas empresas com capital majoritariamente brasileiro e 452 (quatrocentas e cinquenta e duas) "Cross Border", ou seja, aquelas nas quais as empresas adquirente e adquirida estão sediadas em países distintos.2

Os motivos atrelados ao crescimento dessas operações são diversos, a título de exemplo, podemos citar: a diversificação do "Core Bussiness" da empresa, ou seja a implementação de um novo ponto focal do negócio, como é o caso da aquisição pela Fedex, famosa empresa de entregas, da empresa Cometa, referência no transporte de pessoas por todos os estados do Brasil, contando com aproximadamente 17.000 clientes3. Ainda, como vantagens, podemos citar uma maior abrangência da marca, um aumento da receita da empresa, uma redução de custos por meio da otimização do processo produtivo, dentre outros fatores.

Contudo, apesar dos inúmeros benefícios atrelados a esse processo, muitos cuidados devem ser tomados, especialmente com relação aos dados pessoais armazenados pelas empresas participantes da operação, haja vista a sensibilidade destas informações e os reflexos que a falta de zelo pode acarretar.

O art. 14, I, do decreto 8.771/16, norma que regulamentou o Marco Civil da Internet, define dados pessoais como dados "relacionados à pessoal natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa". O PL 5.276/16, por sua vez, de inspiração nitidamente europeia, reproduz o conceito assinalado4.

Antes de iniciar um processo de fusão e aquisição, as empresas interessadas, comumente, seguem uma cartilha de passos para a estruturação do negócio. Pois bem, com os dados pessoais não deve ser diferente, vez que para se realizar uma integração efetiva entre dois sistemas de tecnologia distintos é necessário seguir um planejamento estratégico.

Em primeiro lugar, é imprescindível realizar um levantamento de todas as informações atreladas a dados pessoais que as duas empresas possuem, isso inclui os dados armazenados em hardwares, computadores, nuvem5 e fontes outsorcing6, estruturando, ao final, um dossiê completo de todos os dados pessoais em posse dessas empresas.

Em seguida, deverá ser realizada uma conferência das informações levantadas, assim, inicia-se a fase da Due Diligence, conhecida como o conjunto de diligências necessárias para a estruturação do negócio, na qual ambos os participantes deverão checar a forma com que a outra empresa participante do processo tratava os dados pessoais em sua posse.

Esta fase, visa quantificar os possíveis riscos atrelados à absorção dos dados pessoais armazenados pela outra participante, sendo importante analisar a idoneidade dos contratos celebrados para a coleta e transferência dos dados pessoais, bem como analisar a existência de possíveis falhas de segurança no procedimento de armazenamento destes dados, evitando um vazamento.

Atualmente, um dos pontos mais sensíveis na realização de um processo de fusão e aquisição é a possível quebra de promessa de privacidade com o titular dos dados pessoais, haja vista que os compromissos assumidos anteriormente com este, especialmente quanto a coleta, uso, divulgação, transmissão, armazenamento, compartilhamento e destruição de informações pessoais,7 deverão ser mantidas, ressaltando assim, a importância de um processo de Due Diligence bem estruturado e eficiente.

Cite-se a recente aquisição do WhatsApp pela gigante Facebook, seguida pela controversa decisão de compartilhamento de informações entre as referidas aplicações, em que a comunidade de especialistas em privacidade questionou justamente a quebra das promessas feitas aos usuários pelo WhatsApp quando do início de suas atividades, em que a empresa assegurou que sua monetização não se daria pela utilização dos dados pessoais de seus usuários.

Nesse tocante, os Estados Unidos, por meio da Section 5 do Federal Trade Comission Act, impõe sanções para as empresas norte americanas que descumprirem os códigos de ética e de conduta vigentes, os quais devem ser previamente validados pela FTC – Federal Trade Comission:

"Section 5(a) of the Federal Trade Commission Act (FTC Act) (15 USC §45) prohibits "unfair or deceptive acts or practices in or affecting commerce." This prohibition applies to all persons engaged in commerce, including banks. The Board has affirmed its authority under section 8 of the Federal Deposit Insurance Act to take appropriate action when unfair or deceptive acts or practices (UDAP) are discovered."8

O Brasil ainda não possui uma lei geral vigente sobre a proteção de dados pessoais, assim, para as operações de fusão e aquisição domésticas, a proteção dessas informações fica a cargo de diversas legislações esparsas, dentre elas os incisos X9 e XII10 do artigo 5º11 da CF, artigo 6º12 e §1º13, § 2º14, § 3º15, § 4º16 e § 5º17 do artigo 43 do CDC, artigo 3º18 e § 1º19 do artigo 3º da lei 12.414/11 (Lei do Cadastro Positivo), artigo 4º IV20, artigo 31 da lei 12.527/11 (Lei de Acesso à Informação) e artigo 7º, incisos, VI21,VIII22, IX23 e X24 do Marco Civil da Internet.

Nas operações "Cross Borders" as empresas estarão sujeitas às legislações dos países em que estiverem sediadas. Ressalta-se que, a partir do dia 25 de maio de 2018, começou a vigorar o General Data Protection Regulation (GDPR), nova lei geral de proteção de dados pessoais que se aplica à toda União Europeia.

Dois pontos são cruciais e merecem destaque nas operações de fusão e aquisição de empresas: a transferência internacional de dados e a eficácia extraterritorial da legislação.

Quanto à transferência internacional de dados, há uma série de hipóteses autorizadoras para esse tipo de operação, como a celebração de contratos Standard Contratual Clauses25 e Binding Corporate Rules26.

A GDPR, por sua vez, autoriza a transferência por meio do artigo 4527, o qual estipula a necessidade de que o país destinatário dos dados transferidos tenha sido previamente classificado como "adequado" para receber essa transferência, ou por meio do seu artigo 4628, que estipula a inclusão de cláusula de consentimento expresso29 do usuário na transferência de seus dados pessoais,30 após este ter sido devidamente informado sobre os possíveis riscos de tal transferência.

Atualmente, por conta da falta de uma legislação específica, o Brasil não é considerado como um país de nível de proteção adequado, contudo, mesmo sem esta classificação ainda poderá ser destinatário de transferências de dados, desde que observado algum dos requisitos acima.

Quanto a aplicabilidade da GDPR, podemos considerá-la como extraterritorial, ou seja, aplicável a empresas sediadas fora da união europeia, conforme artigo 3 (2) A e B31 do regulamento.

Outro ponto de destaque é que a nacionalidade do cidadão não influi nos efeitos do regulamento, conforme bem leciona o professor Renato Leite Monteiro em seu estudo aprofundado sobre o tema:

"Quanto à eficácia extraterritorial da Regulamentação, antes de qualquer análise pormenorizada, é necessário afirmar que ela não leva, em nenhum momento, para fins de determinação de jurisdição oi de onde e quando a norma será aplicada, a nacionalidade das pessoas naturais titulares dos dados pessoais. Em outras palavras, a GDPR não se aplica, somente, a cidadãos europeus. A nacionalidade não é um elemento que deve ser levado em consideração."32

Nesse sentido, se a empresa participante do processo de fusão ou aquisição estiver sediada fora dos limites geográficos da União Europeia, mas oferecer produtos e serviços a usuários localizados dentro do bloco, esta companhia estará sujeita aos termos do regulamento, devendo seguir estritamente o quanto determinado, sob pena de arbitramento de multas 33que podem variar entre 20 milhões de euros ou 4% do faturamento global da empresa, o que for maior.

Diante deste cenário, resta claro que as empresas interessadas em realizar uma operação de fusão ou aquisição deverão ter muita cautela quanto à questão da privacidade dos dados pessoais, sendo de extrema importância a promoção de um estudo pormenorizado quanto à aplicação ou não da nova legislação europeia às suas atividades, bem como o acompanhamento das evoluções dos projetos de lei em trâmite no Congresso nacional. Nesse contexto, cumpre destacar que, ante a crescente preocupação do Brasil sobre o tema, nesta terça-feira, 29.5.18, o plenário da Câmara dos Deputados aprovou o PL 4.060/12, formado do agrupamento com o Projeto 5.276/16, da ex-presidente Dilma Rousseff,34 devendo portando o conhecimento e o tratamento de dados pessoais no Brasil ser afetado.

________________

1 Fusões e Aquisições - 2º trimestre de 2017, acessado em 02.6.18.

2 Fusões e Aquisições - 2º trimestre de 2017, acessado em 02.6.18.

3 28 maiores fusões e aquisições do mundo dos negócios em 2012, acessado em 16.6.18.

4 PL 5276/2016, acessado em 02.6.18.

5 “Termo utilizado para descrever uma rede global de servidores, cada um com uma função única. A nuvem não é uma entidade física, mas uma vasta rede de servidores remotos ao redor do globo que são conectados e operam como um único ecossistema. Estes servidores são responsáveis por armazenar e gerenciar dados, executar aplicativos ou fornecer conteúdo ou serviços, como transmissão de vídeos, webmail, software de produtividade ou mídias sociais. Em vez de acessar arquivos e dados do local ou de um PC, você pode acessá-los online, de qualquer dispositivo com acesso à Internet. As informações estarão disponíveis em qualquer lugar, a qualquer hora.” – O que é nuvem?, acessado em 06.6.18.

6 “é a prática de terceirizar serviços ligados à parte estratégica da empresa, ou seja, buscar fontes externas ("de fora") para fazer estes trabalhos” - O que é outsourcing? Tudo o que você precisa saber sobre o tema, acessado em 06.6.18.

7 Fusões e aquisições: Questões críticas na integração dos sistemas, acessado em 03.6.18.

8 Federal Trade Commission Act
Section 5: Unfair or Deceptive Acts or Practices, acessado em 20.6.18

9 X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação, - CONSTITUIÇÃO DA REPÚBLICA FEDERATIVA DO BRASIL DE 1988, acessado em 02.6.18.

10 XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal - CONSTITUIÇÃO DA REPÚBLICA FEDERATIVA DO BRASIL DE 1988, acessado em 02.6.18.

11 Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes - CONSTITUIÇÃO DA REPÚBLICA FEDERATIVA DO BRASIL DE 1988, acessado em 02.6.18.

12 Art. 6º São direitos básicos do consumidor:

13 § 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos – LEI 8.078, DE 11 DE SETEMBRO DE 1990, acessado em 02.6.18.

14 § 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele. – LEI 8.078, DE 11 DE SETEMBRO DE 1990, acessado em 02.6.18.

15 § 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas– LEI 8.078, DE 11 DE SETEMBRO DE 1990, acessado em 02.6.18.

16 § 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público– LEI 8.078, DE 11 DE SETEMBRO DE 1990, acessado em 02.6.18.

17 § 5° Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores. – LEI 8.078, DE 11 DE SETEMBRO DE 1990, acessado em 02.6.18.

18 Art. 3o Os bancos de dados poderão conter informações de adimplemento do cadastrado, para a formação do histórico de crédito, nas condições estabelecidas nesta Lei. – LEI 12.414, DE 9 DE JUNHO DE 2011, acessado em 03.6.18.

19 § 1o Para a formação do banco de dados, somente poderão ser armazenadas informações objetivas, claras, verdadeiras e de fácil compreensão, que sejam necessárias para avaliar a situação econômica do cadastrado – LEI 12.414, DE 9 DE JUNHO DE 2011, acessado em 03.6.18.

20 IV - informação pessoal: aquela relacionada à pessoa natural identificada ou identificável; , LEI 12.527, DE 18 DE NOVEMBRO DE 2011, acessado em 02.6.18.

21 VI - informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade = LEI 12.965, DE 23 DE ABRIL DE 2014, acessado em 03.6.18.

22 VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet – LEI 12.965, DE 23 DE ABRIL DE 2014, acessado em 03.6.18.

23 IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais – LEI 12.965, DE 23 DE ABRIL DE 2014, acessado em 03.6.18.

24 X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei – LEI 12.965, DE 23 DE ABRIL DE 2014, acessado em 03.6.18.

25 Legal tools to provide adequate safeguards for data transfers from the EU or the European Economic Area (EEA) to third countries – Standard Contractual Clauses, acessado em 25.6.18.

26 “Binding corporate rules are internal rules for data transfers within multinational companies.Binding corporate rules are like a code of conduct. They allow multinational companies to transfer personal data internationally within the same corporate group to countries that do not provide an adequate level of protection” – Binding corporate rules, acessado em 25.6.18.

27 Art. 45 “A transfer of personal data to a third country or an international organization may take place where the Commission has decided that the third country, a territory or one or more specified sectors within that third country, or the international organization in question ensures an adequate level of protection. Such a transfer shall not require any specific authorization” – Summary of Articles Contained in the GDPR, acessado em 04.6.18.

28 Art. 46 “In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by: a legally binding and enforceable instrument between public authorities or bodies; binding corporate rules in accordance with Article 47; standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93(2); standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2); an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights; or an approved certification mechanism pursuant to Article 42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights”- – Summary of Articles Contained in the GDPR, acessado em 04.6.18.

29 Ressalta-se a peculiaridade do consentimento expresso no qual o titular dos dados deve responder a uma pergunta de forma oral ou escrita conforme definido pelo artigo 29 da GDPR.

30 Para que tenham plena eficácia, as referidas clausulas gerais deverão ser previamente aprovadas pela Comissão Europeia, antes que possam ser divulgadas aos usuários.

31 This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or the monitoring of their behaviour as far as their behaviour takes place within the Union.

32 O Impacto da Regulação Geral de Proteção de Dados da UE em Empresas Brasileiras, acessado em 06.6.18.

33 Nesse caso, as multas serão arbitradas, caso a companhia em desacordo possuir sede ou filial na União Europeia. Caso a empresa responsável pela transmissão esteja sediada fora dos limites territoriais, a aplicação da multa dependerá da cooperação internacional do país onde a empresa estiver sediada, podendo ser um procedimento lento e pouco efetivo.

34 Após anos de pressão, Lei de Dados Pessoais é aprovada na Câmara, acessado em 04.6.18.

________________

*Pedro Nachbar Sanches é advogado do escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados.

*Paulo de Oliveira Piedade Vidigal é advogado do escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados.

Opice Blum Advogados Associados