MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. A data regulatory due diligence como categoria autônoma da auditoria jurídica

A data regulatory due diligence como categoria autônoma da auditoria jurídica

O artigo analisa a data regulatory due diligence como nova categoria de auditoria jurídica, destacando dados, governança e riscos regulatórios.

terça-feira, 14 de julho de 2026

Atualizado em 13 de julho de 2026 17:40

A crescente centralidade da proteção de dados pessoais nas operações societárias permite sustentar que o mercado caminha para reconhecer uma nova categoria de auditoria jurídica regulatória: a data regulatory due diligence.

Historicamente, a evolução das operações de fusões e aquisições revela que a expansão da due diligence sempre acompanhou o aumento da complexidade regulatória dos mercados.

Em um primeiro momento, predominavam as análises de natureza societária, contratual, tributária e trabalhista. Posteriormente, o fortalecimento do direito concorrencial tornou indispensável a antitrust due diligence, especialmente em operações sujeitas ao controle prévio de estruturas. Em seguida, a crescente relevância dos riscos socioambientais, climáticos e de governança impulsionou a consolidação da ESG due diligence como componente permanente da avaliação de ativos e da alocação de riscos contratuais.

A proteção de dados pessoais parece seguir trajetória semelhante.

A entrada em vigor da lei 13.709/18 (LGPD), a intensificação da atividade regulatória da ANPD, o aumento da litigiosidade envolvendo privacidade e segurança da informação e a crescente dependência econômica dos ativos informacionais fizeram surgir um novo eixo de avaliação das operações empresariais. Não se trata apenas de verificar a existência formal de políticas de privacidade ou de cláusulas contratuais relacionadas ao tratamento de dados, mas de examinar o grau de maturidade da governança implementada pelo agente de tratamento.

Nesse contexto, propõe-se compreender a data regulatory due diligence como procedimento de auditoria destinado a avaliar, de forma integrada, o nível de conformidade jurídica, a efetividade da governança, a exposição regulatória e o impacto econômico decorrentes das atividades de tratamento de dados pessoais desenvolvidas pela empresa objeto da operação. Sua finalidade ultrapassa a mera identificação de passivos administrativos ou judiciais. Busca-se aferir se a organização demonstra capacidade estrutural de cumprir os deveres de governança previstos na LGPD, especialmente aqueles decorrentes dos arts. 6º, X, 38, 46 e 50.

Sob essa perspectiva, a data regulatory due diligence passa a abranger, entre outros aspectos:

  • Inventário e classificação dos ativos informacionais da empresa;
  • Identificação das operações de tratamento e respectivas bases legais;
  • Avaliação da qualidade dos registros das operações de tratamento;
  • Análise dos programas de governança previstos no art. 50 da LGPD;
  • Verificação da efetividade das medidas técnicas e administrativas exigidas pelo art. 46;
  • Existência, abrangência e atualização dos Relatórios de Impacto à Proteção de Dados Pessoais (art. 38);
  • Histórico de incidentes de segurança e mecanismos de resposta;
  • Gestão de operadores, fornecedores e transferências internacionais de dados;
  • Maturidade dos controles internos, auditorias periódicas e mecanismos de accountability;
  • Potencial impacto econômico decorrente de sanções administrativas, ações coletivas, litígios individuais e danos reputacionais.

Percebe-se, portanto, que essa modalidade de auditoria não se limita à aferição da conformidade normativa (compliance review). Seu objeto consiste na avaliação da capacidade institucional da empresa para administrar riscos relacionados ao ciclo completo de tratamento de dados pessoais.

Essa mudança de paradigma aproxima a proteção de dados das demais áreas clássicas da governança corporativa. Assim como programas de integridade passaram a ser avaliados não apenas pela existência formal de códigos de conduta, mas pela efetividade de seus mecanismos de prevenção, detecção e resposta, a governança de dados tende a ser examinada segundo critérios de maturidade institucional, gestão contínua de riscos e capacidade de demonstração objetiva da conformidade.

Essa compreensão dialoga diretamente com o entendimento mais recente dos especialistas no tema, para quem a proteção de dados pessoais constitui instrumento permanente de tutela de direitos fundamentais e pressupõe mecanismos organizacionais de controle, identificam na LGPD um modelo regulatório orientado pela gestão de riscos e sustentam que o princípio da accountability impõe verdadeiro dever de organização, exigindo estruturas efetivas de governança capazes de demonstrar conformidade perante autoridades, titulares e agentes econômicos.

Sob esse enfoque, a data regulatory due diligence não representa mera especialização técnica da auditoria tradicional. Trata-se de categoria autônoma de avaliação regulatória, cujo objeto não é exclusivamente jurídico, nem exclusivamente tecnológico, mas essencialmente interdisciplinar, reunindo elementos de direito regulatório, proteção de dados, governança corporativa, segurança da informação, gestão de riscos e estratégia empresarial. Sua consolidação tende a produzir reflexos relevantes na prática contratual.

A maturidade da governança de dados poderá influenciar a precificação de ativos, a extensão das declarações e garantias (representations and warranties), a negociação de cláusulas de indenização (indemnities), a definição de condições precedentes (conditions precedent), a contratação de seguros específicos para riscos cibernéticos (cyber insurance) e, em determinadas circunstâncias, a própria decisão econômica de prosseguir com a operação.

O caso submetido ao STF na ADIn 7.896 representa, nesse contexto, manifestação concreta de fenômeno mais amplo. Ainda que a controvérsia esteja circunscrita à desestatização da Celepar, a exigência de demonstração objetiva da governança de dados revela tendência de fortalecimento da accountability como elemento estruturante da segurança jurídica das operações societárias. 

Se essa tendência vier a se consolidar na atuação coordenada da ANPD, do Poder judiciário e do mercado, a data regulatory due diligence passará a ocupar posição equivalente à hoje desempenhada pelas auditorias concorrencial, ambiental e ESG: não mais um diferencial de boas práticas, mas requisito ordinário de gestão dos riscos regulatórios das transações empresariais. É a verdadeira "quinta geração" da due diligence em M&A, para além do caso Celepar, que poderá servir como modelo conceitual em situações futuras, em movimento comparável ao observado na União Europeia.

Ana Lúcia Pinke Ribeiro de Paiva

Ana Lúcia Pinke Ribeiro de Paiva

Sócia da área Trabalhista de Araújo e Policastro Advogados.

Marcos Rafael Faber Galante Carneiro

Marcos Rafael Faber Galante Carneiro

Associado da área trabalhista do escritório Araújo e Policastro Advogados.