Impactos da lei geral de proteção de dados nas operações de M&A

As operações de fusão e aquisição, chamadas Mergers and Acquisitions (M&A), envolvem inúmeras e complexas etapas procedimentais, desde a celebração de um acordo de confidencialidade (NDA) até sua fase conclusiva, com a formalização de contrato definitivo ou, em certas ocasiões, a mera desistência de uma das partes.

Com o advento da lei Geral de Proteção de Dados (LGPD - lei 13.709/18), o conjunto de diligências pertinentes à operação de M&A ganha um novo capítulo: a necessidade de observância das normas de proteção de dados pessoais.

Em algumas oportunidades, a necessidade da execução de tratamento de dados pessoais ocorre a partir da etapa preliminar e, em qualquer cenário, a adoção de medidas preventivas deve ser considerada principalmente ainda na fase de due dilligence, onde as atividades de tratamento podem começar a ocorrer de forma mais intensa.

Como em qualquer atividade que envolva tratamento de dados, torna-se necessário compreender assertivamente o fluxo dos processos e, consequentemente, identificar seus agentes de tratamento. Em apartada síntese, a empresa-alvo, na condição de controladora, poderá disponibilizar os dados pessoais ao potencial adquirente, também na condição de controlador e, muitas vezes, por meio de um prestador de serviços terceirizado, responsável por gerir a ferramenta de armazenamento de documentos (e dados) - Virtual Data Room (VDR). Em paralelo, esses dados ainda serão acessados por consultores contratados, que por sua vez poderão realizar o processamento desses dados de forma autônoma, com base nas suas próprias diretrizes e expertises. Logo, é possível identificar uma cadeia com vários atores que possuem obrigações como agentes de tratamento, seja na condição de controlador (empresa-alvo, potencial adquirente e consultores), seja na condição de operador (empresa terceira responsável pelo VDR).

Além da identificação dos agentes de tratamento, devem ser exploradas ainda as bases legais aplicáveis ao tratamento de dados pessoais, nas operações de M&A, sendo a presente análise restrita à incidência do artigo 7º da LGPD, uma vez que a utilização de dados sensíveis e de crianças e adolescentes deverão ser sempre evitadas, ou sob a adoção de critérios específicos e das bases legais admitidas para tratamento de dados desta natureza.

Via de regra, os dados pessoais objeto de tratamento foram originariamente coletados pela empresa-alvo para uma determinada finalidade, sem qualquer relação com a operação societária em questão, e serão compartilhados com outros agentes de tratamento, inclusive com novo(s) controlador(es) (potenciais adquirentes e eventualmente seus assessores) para análise preliminar dos riscos inerentes à operação de M&A.

Sendo assim, caso a empresa-alvo tenha se valido do consentimento para o tratamento dos dados pessoais objeto de tal compartilhamento, esse cenário poderia, em tese, caracterizar a incidência do §5º do artigo 7º da LGPD, havendo assim a necessidade de obtenção de novo consentimento específico dos titulares para esse fim. Cabe aqui observar que o cenário descrito nesse parágrafo conversa bem com a errônea ideia de que a base legal do consentimento é regra, por uma equivocada interpretação de sua superioridade hierárquica perante as demais bases legais previstas no artigo 7º da LGPD. Além da necessidade de desmistificação de se utilizar o consentimento como regra, é importante combater ainda o estranho fenômeno da "fadiga do consentimento"¹, caracterizado pelo excesso de interações realizadas pelas organizações perante os titulares.

Nesse contexto, nas operações de M&A tornam-se facilmente perceptíveis alguns entraves no uso do consentimento, diante da dificuldade de sua operacionalização, preenchimento dos requisitos legais para sua eficácia, bem como pela consequente quebra do sigilo da operação, que por sua vez poderá ser altamente prejudicial ao êxito do negócio, podendo ocasionar inclusive alterações substanciais no valuation da empresa-alvo, seja pela quebra da confidencialidade e os consequentes impactos da publicização da operação, seja pela baixa adesão dos titulares envolvidos, especialmente em negócios onde os principais ativos da empresa se restringem a dados.

Forçoso ainda ressaltar que, a depender do caso, poderá haver a necessidade de compartilhamento de dados pessoais de funcionários da empresa-alvo com o potencial adquirente e seus consultores, prejudicando ainda mais a aplicabilidade adequada do consentimento enquanto base legal.

Nesse sentido, o legítimo interesse surge não apenas como uma alternativa, mas talvez como a base legal adequada (não se aplicando aos dados sensíveis) diante das singularidades das operações de M&A.

Sobre o tema, em julho de 2021 o Centre for Information Policy Leadership (CIPL)² publicou um documento visando subsidiar o European Data Protection Board (EDPB) para a futura atualização das diretrizes sobre a utilização da base legal do legítimo interesse, onde cita vários exemplos em que consentimento não é considerado como base legal apropriada. Neste sentido, o referido documento menciona a hipótese de tratamento no contexto das operações de M&A que, segundo o CIPL, os controladores possuem um interesse legítimo em tratar os dados pessoais necessários ao negócio.

Ainda, no que se refere à aplicabilidade do legítimo interesse, as operações de M&A são bem representativas, uma vez que todas as partes envolvidas em tese possuem interesse legítimo no tratamento de dados pessoais: (i) seja a empresa-alvo e o potencial adquirente, que almejam concluir a operação; (ii) sejam os titulares impactados pela manutenção das atividades da empresa alvo; e (iii) ainda que indiretamente, a própria sociedade em geral, pelo desempenho da função social da atividade empresária, em prol da coletividade.

Não obstante os pontos colocados, para a eficácia plena e segura do uso do legítimo interesse, é inegociável a adoção de medidas aptas a garantir a observância dos princípios previstos na norma, a adequada instrumentalização prévia e ações de governança, tais como registro das operações de tratamento, elaboração do teste de proporcionalidade (Legitimate Interests Assessment - LIA) e Relatório de Impacto à Proteção de Dados Pessoais (RIPD), devendo ainda assegurar a inviolabilidade de direitos e liberdades fundamentais dos titulares com a garantia de segurança e confidencialidade dos dados.

Sobre as medidas mínimas de mitigação, o Centre for Information Policy Leadership (CIPL) recomenda ainda pela celebração de acordos de confidencialidade (NDA) para proteger a troca de informações e dados pessoais e uso de plataformas seguras, que permitam apenas a visualização dos documentos e dados, sem possibilidade de extração.

No que se refere a obrigação de fornecimento de informações aos titulares, sobre o tratamento realizado com seus dados pessoais, importante frisar que a GDPR³ estabelece algumas exceções e, dentre elas, quando houver impossibilidade ou que possa prejudicar gravemente a finalidade do tratamento. Segundo a Opinião do Working Party 29⁴, tal exceção seria aplicável apenas na hipótese em que o controlador demonstrar que o fornecimento dessas informações for prejudicial, podendo inclusive anular objetivos do tratamento.

Nessa linha, outro grande desafio é sobre o atendimento do dever de transparência com os titulares, onde o controlador deverá aferir o melhor momento para dar a devida publicidade sobre o tratamento, e identificar a oportunidade ideal em que a confidencialidade do negócio não se fizer mais imprescindível ao seu êxito. Ainda, em diretrizes especificas sobre o compartilhamento de dados nas operações de M&A, a Information Commissioner's Office (ICO) do Reino Unido ressalta a necessidade em que o controlador, seja ele responsável pelo compartilhamento ou enquanto receptor dos dados, deverá analisar quando e como os titulares dos dados serão informados sobre o referido tratamento⁵.

Apesar dos pontos de reflexão colocados acima, é altamente recomendável aos agentes de tratamento que, sempre que possível, busquem adotar técnicas de anonimização ou pseudonimização dos dados. Tais medidas, quando adotadas com eficiência, poderão ser capazes de gerar um menor grau burocrático às diligências da operação, maior grau de proteção aos titulares impactados e prover uma maior segurança jurídica aos agentes no tocante ao tema.

Vale salientar que os cuidados ora mencionados em hipótese alguma devem ser considerados apenas como dever de governança e sim com uma obrigação legal, intrinsicamente ligados ao intransponível princípio da responsabilização e prestação de contas (accountability).