Esqueletos no armário: como a inadequação à LGPD pode reduzir o valor de sua empresa diante de um potencial comprador?

INTRODUÇÃO 

As operações de M&A (Fusões e Aquisições) são, por sua própria natureza e escopo, complexas, e exigem do comprador uma avaliação extensiva dos riscos e dos ganhos relativos ao negócio, inclusive no que tange à conformidade com a Lei Geral de Proteção de Dados (LGPD).

Nesse contexto, para atingir o seu propósito, o processo de M&A perpassa, comumente, por 3 (três) etapas principais: (i) negociações preliminares e assinatura de memorando de entendimentos (Memorandum of Understanding ou MoU); (ii) auditoria legal (due diligence); (iii) assinatura do contrato (signing) e fechamento (closing).

Dentre essas, convém destacar a due diligence, etapa destinada a apurar eventuais passivos e/ou contingências que possam influir na apuração do "valor real" dos ativos e que poderá encaminhar as partes para o fechamento da transação ou não.

Durante essa etapa, a empresa-alvo (target) divulga para a potencial adquirente informações sensíveis sobre seus negócios, como o intuito de reduzir a assimetria informacional e engendrar maior segurança para que a operação seja efetivada.

Por conseguinte, considerando a crescente importância da privacidade e proteção aos dados pessoais desde a promulgação da LGPD, o conhecimento de possíveis omissões e da ausência de medidas direcionadas a proteger os dados pessoais por parte da companhia-alvo pode levar a uma redução significativa do valor da empresa. É o que será tratado neste breve artigo sobre o tema. 

DESENVOLVIMENTO

Atualmente, nos processos de M&A, o que se tem verificado é, juntamente das auditorias costumeiras (contábil, fiscal, trabalhista etc.), uma verdadeira auditoria em matéria de proteção aos dados pessoais, visando a conhecer a real situação da empresa no tocante ao nível de conformidade aos padrões legais de tratamento de dados, segurança da informação e governança. Essa investigação específica se torna mais necessária quanto maior for o fluxo de dados pessoais dentro da companhia-alvo e, especialmente, no caso de empresas que possuem como principal ativo as suas operações em meio digital¹.

Constata-se, assim, que a concepção do "privacy by design", segundo a qual a proteção aos dados deve ser considerada de forma personalizada desde a concepção dos produtos, negócios e serviços, aplica-se também às operações de M&A. Nota-se que os modelos empresariais implementados sem a  preocupação de formular uma política de proteção de dados específica e customizada ficam, inegavelmente, em posição de desvantagem comercial².

Com efeito, os dados (pessoais ou não) custodiados por uma empresa assumem um valor substancial no bojo das operações de fusão e aquisição, na medida em que são indicadores determinantes da viabilidade do negócio. Nesse sentido, a depender do grau de adequação da empresa-alvo à LGPD ou a outras normas aplicáveis, a adquirente terá maiores ou menores ônus no futuro.

Isso se dá porque, além de despender investimentos e esforços significativos para "reformar a casa", procedendo à regularização do banco de dados e dos documentos da target, o adquirente ainda se sujeitará aos riscos de ser responsabilizado pela falta de compliance, afigurando-se como genuína sucessora dos "esqueletos no armário" deixados pelo antigo dono do negócio adquirido³.

Especificamente no contexto brasileiro, cabe ressaltar, ainda, o cenário de incerteza quanto à jurisprudência brasileira e tendências de aplicação de multas (uma vez que as sanções da LGPD apenas entraram em vigor em agosto de 2021), que não permite mensurar, com precisão, os riscos de uma operação em termos monetários. Nessa ótica, faz-se necessária a realização de uma auditoria que viabilize à empresa adquirente uma visão prospectiva e abrangente do negócio potencial, a fim de se evitar surpresas e desenvolver estratégias de mitigação de danos.

Dessa maneira, o nível de maturidade de uma empresa em matéria de proteção aos dados pessoais, a ausência de incidentes de segurança e a presença de um plano efetivo de resposta a eventuais falhas refletem diretamente no valor de mercado das empresas, em uma operação de M&A.

Afinal, quanto mais incipiente a estrutura de governança e de conformidade à LGPD, maior será o custo de implementação e o risco de incidentes, multas, reclamações, fiscalizações e/ou processos judiciais e administrativos. É o que se torna evidente em casos como o da Uber pelo SoftBank e da Yahoo pela Verizon.

No primeiro, com a divulgação de um incidente de segurança que havia exposto as informações privadas de cerca de 57 milhões de clientes, a avaliação do negócio de  compra de ações da Uber foi reduzida de US$ 68 bilhões para US$ 48 bilhões no fechamento do acordo⁴. No segundo, a operação de venda da Yahoo, situação análoga ocorreu, tendo em vista que, depois da descoberta de vazamentos de dados de usuários do Yahoo, a Verizon decidiu reduzir em US$ 350 milhões o valor inicialmente ofertado⁵.

Diante desses exemplos recentes, é natural e até imperativo, portanto, que as questões atinentes à proteção de dados pessoais sejam sopesadas no momento da precificação de uma operação societária.

Por outro lado, caso não se verifique se a companhia-alvo detém algum histórico de incidentes de segurança da informação, depois da aquisição, a compradora poderá ser acionada, repentinamente, para responder por falhas antigas que não contribuiu para causar.

Foi o que sucedeu com a rede de hotéis Marriott. O grupo econômico adquiriu a rede Starwood em 2016, mas o incidente cibernético que vazou os dados de clientes da empresa adquirida apenas foi descoberto pela Marriot em 2018. Neste caso, a própria adquirente acionou a ICO (Information Commissioners Office), instituição independente do Reino Unido, que, após investigação, concluiu não ter sido realizada a diligência cabível quando do processo de aquisição da Starwood, bem como consignou que a adquirente deveria ter empreendido mais esforços para proteger seus sistemas de proteção de dados.

O exemplo alerta as empresas adquirentes a ampliarem a due diligence, com o fito de averiguar se a target tem cumprido com a LGPD, antecipando possíveis prejuízos e, eventualmente, revisando o valor ofertado⁶. 

CONCLUSÃO

Diante do cenário apresentado, é essencial que a empresa-alvo se prepare para todas as possíveis variáveis analisadas em um processo de due diligence. A relevância dessa preparação aumenta na medida em que as auditorias tendem a não se concentrar somente na existência de incidentes de segurança, processos judiciais ou administrativos e fiscalizações. Para além desses aspectos, tem-se, frequentemente, priorizado uma abordagem não formalista, por meio da inclusão de questionários relativos à proteção de dados e a realização de entrevistas com os encarregados pela gestão e compliance, por exemplo.

O objetivo último da auditoria, independentemente dos meios empregados, será testar as políticas e diretrizes incorporadas pela empresa-alvo e identificar lacunas e incongruências entre o que foi incialmente registrado pela target e o que realmente ocorre no seu cotidiano.

Nessa senda, são observados três fatores essenciais para a adquirente, quando da avaliação do custo-benefício de se realizar a operação de M&A: (i) a consistência do modelo de valuation com os usos esperados para os dados pessoais após a aquisição da empresa-alvo; (ii) os possíveis custos de adequação da companhia às balizas da LGPD ou outras normas, sob os vieses operacional, contratual e de governança e; (iii) os riscos inerentes à não conformidade da empresa com as normas de proteção de dados aplicáveis.

O próprio processo de M&A é caracterizado por sucessivas atividades de tratamento de dados, desde a fase de tratativas iniciais até a fase que sucede o seu fechamento. Desse modo, tem-se uma oportunidade para que a adquirente veja de perto como a target lida com questões de segurança da informação, privacidade e proteção de dados pessoais⁷⁸.

No mesmo sentido, é importante aferir se os acordos preliminares, como o MoU, preveem regras relativas à proteção de dados pessoais que venham a ser compartilhados, como também sobre o regime de responsabilização das partes em caso de infração às normas legais sobre o tema no decorrer da operação. 

Por tudo exposto, é evidente que, para quem quer vender, é fundamental "arrumar a casa" antes das auditorias típicas das operações de M&A, removendo os possíveis "esqueletos do armário", o que deve contemplar, sobretudo, o devido compliance em proteção de dados pessoais. Somente assim será possível garantir a precificação esperada e, até mesmo, o sucesso do negócio.

Igualmente, para quem quer comprar, é imprescindível que a etapa de due diligence da operação contemple, também, uma rigorosa análise de conformidade da empresa-alvo às leis e melhores práticas em matéria de privacidade e proteção de dados pessoais.

____________

1 SOLER, Rogério. Primeiras Reflexões sobre os impactos da Lei Geral de Proteção de Dados (LGPD) em Operações de Fusão e Aquisição (M&A) no Brasil. Pós-Graduação em Direito Digital. ITS-UERJ, 2020. p.4. Disponível em https://itsrio.org/wp-content/ uploads/2021/03/Rogerio-Soler-Junior_Primeiras-Reflexoes-sobre-os-Impactos-da-Lei-Geral-de-Protecao-deDados-LGPD-em-Operacoes-de-Fusao-e-Aquisicao-MeA-no-Brasil-.pd

2 FACHINETTI, Aline; POGGIO, Gustavo. Proteção de dados, due diligence e novos negócios. 

3m MORAES, Henrique Fabretti; LOPES, Giovana Peluso. Proteção de dados: os cuidados da due diligence em operações de M&A. LexLatin, 2022. Disponível em: https://br.lexlatin.com/opiniao/due-diligence-operacoes-ma-cuidados-protecao-dados

4 Softbank renegocia ações da Uber após escândalo e pede desconto. CanalTech, 28/11/2017. Disponível em: https://canaltech.com.br/negocios/softbank-renegocia-compra-de-acoes-da-uber-apos-escandalo-e-pede-desconto-104280

5 Yahoo é vendido para a Verizon com `desconto` de US$ 350 milhões. Olhar digital, 21/02/2017. Disponível em: https://olhardigital.com.br/2017/02/21/pro/yahoo-e-vendido-para-a-verizon-por-us-4-48-bilhoes

6 Vazamento marca novo incidente com a rede Marriott. 2022. Ciso Advisor, 06/07/2022  Disponível em: https://www.cisoadvisor.com.br/vazamento-marca-novo-incidente-com-a-rede-marriott

7 BLUM, Renato; ALMEIDA, Ana Rita Biba. M&A e os princípios da LGPD. Migalhas, 20/06/2022. Disponível em: https://www.migalhas.com.br/depeso/368150/m-a-e-os-principios-da-lgpd

8 CARDOSO, Guilherme; MULLER, Mariana; CURSI, Guilherme. Aplicação da LGPD em auditoria legal e operações de M&A. 

____________

BLUM, Renato; ALMEIDA, Ana Rita Biba. M&A e os princípios da LGPD. Migalhas, 20/06/2022. Disponível em: https://www.migalhas.com.br/depeso/368150/m-a-e-os-principios-da-lgpd>

CARDOSO, Guilherme; MULLER, Mariana; CURSI, Guilherme. Aplicação da LGPD em auditoria legal e operações de M&A. 

FACHINETTI, Aline; POGGIO, Gustavo. Proteção de dados, due diligence e novos negócios.

MORAES, Henrique Fabretti; LOPES, Giovana Peluso. Proteção de dados: os cuidados da due diligence em operações de M&A. LexLatin, 2022. Disponível em: https://br.lexlatin.com/opiniao/due-diligence-operacoes-ma-cuidados-protecao-dados.

SOLER, Rogério. Primeiras Reflexões sobre os impactos da Lei Geral de Proteção de Dados (LGPD) em Operações de Fusão e Aquisição (M&A) no Brasil. Pós-Graduação em Direito Digital. ITS-UERJ, 2020. p.4. Disponível em https://itsrio.org/wp-content/ uploads/2021/03/Rogerio-Soler-Junior_Primeiras-Reflexoes-sobre-os-Impactos-da-Lei-Geral-de-Protecao-deDados-LGPD-em-Operacoes-de-Fusao-e-Aquisicao-MeA-no-Brasil-.pd.

Softbank renegocia ações da Uber após escândalo e pede desconto. CanalTech, 28/11/2017. Disponível em: https://canaltech.com.br/negocios/softbank-renegocia-compra-de-acoes-da-uber-apos-escandalo-e-pede-desconto-104280

Vazamento marca novo incidente com a rede Marriott. 2022. Ciso Advisor, 06/07/2022  Disponível em: https://www.cisoadvisor.com.br/vazamento-marca-novo-incidente-com-a-rede-marriott/.

Yahoo é vendido para a Verizon com `desconto` de US$ 350 milhões. Olhar digital, 21/02/2017. Disponível em: https://olhardigital.com.br/2017/02/21/pro/yahoo-e-vendido-para-a-verizon-por-us-4-48-bilhoes.