Proteção de dados pessoais em processos de due diligence

Proteção de dados pessoais em processos de due diligence

Giordano Andrei dos Santos*

27 de março de 2021 | 11h00

Giordano Andrei dos Santos. FOTO: FERNANDO BARTMANN

Nas diversas operações que podem ser inseridas dentro do que o mercado convencionou denominar fusões e aquisições (M&A, na sigla em inglês), é usual e, quase sempre, essencial que se realize um processo de auditoria e investigação comumente referido como due diligence. Este processo agrega profissionais de uma série de áreas de atuação, para garantir à parte interessada no processo (a “parte investigadora”) informações necessárias a uma tomada de decisões adequada, seja para apurar o valor de determinados ativos empresariais ou para dimensionar riscos de um negócio.

Durante a due diligence, os proprietários dos ativos a serem analisados (“parte investigada”), devem fornecer uma série de documentos e informações, que variam a depender de alguns fatores, como o tamanho da transação, a natureza dos ativos que constituirão o seu objeto e os riscos inerentes ao setor em que se inserem.

Também é natural que haja a necessidade de análise dos chamados dados pessoais, assim entendidos como informações relacionadas a pessoas físicas identificadas ou identificáveis. É o caso das informações relacionadas, por exemplo, a clientes, funcionários ou prestadores de serviços pessoas físicas, incluindo nomes, números de identidade, endereço, dados de contato, valores de remunerações etc. Ao lidar com estes dados pessoais, tanto a parte investigada quanto a parte investigadora e seus assessores realizam operações de tratamento de dados pessoais, que devem observar a Lei Geral de Proteção de Dados Pessoais (LGPD).

No caso da parte investigada, que detém os dados pessoais que serão compartilhados com a parte investigadora e seus assessores, é vital garantir a obtenção do consentimento das pessoas físicas titulares dos dados pessoais em algum momento anterior à due diligence e de forma livre, informada e inequívoca, para uma finalidade determinada. Sob tal perspectiva, o recomendável é que, ao obter o consentimento para o início de qualquer tratamento de dados pessoais, a parte investigada já busque o consentimento também para eventuais operações de M&A.

No caso da parte investigadora e seus assessores, que analisarão a documentação compartilhada pela parte investigada, o tratamento dos dados pessoais não ocorre com base no consentimento dos titulares, mas sim no legítimo interesse que detêm na realização da due diligence para a tomada de decisão no âmbito do M&A. Assim, cabe à parte investigadora realizar e documentar por escrito, um teste de proporcionalidade do legítimo interesse, onde demonstre que o tratamento dos dados pessoais:

(a) Ocorrerá apenas na situação concreta da due diligence e cessará após a sua conclusão;

(b) É necessário para a tomada de decisão no projeto de M&A, não havendo outra forma de se atingir os resultados necessários de forma menos intrusiva;

(c) Não impacta os titulares de forma desproporcional às legítimas expectativas que detinham ao consentirem com o tratamento de seus dados pessoais pela parte investigada (para o que ganha ainda mais relevância a obtenção do consentimento prévio e específico); e

(d) Adota todas as medidas de transparência e minimização de riscos razoavelmente possíveis.

Nesse sentido, podemos recomendar algumas medidas gerais para garantir um tratamento de dados alinhado à LGPD em processos de due diligence:

1. Ao solicitar o consentimento de titulares para o tratamento de seus dados pessoais, inclua uma solicitação de tratamento por terceiros para fins de processos de auditoria em operações de reorganizações societárias ou combinações de negócios (M&A). Mesmo que ainda não exista nenhum processo de due diligence em vista, será muito melhor já ter o consentimento do que buscá-lo depois.

2. Quando, como parte investigadora, conduzir um processo de due diligence que demande o tratamento de dados pessoais, fundamente e documente o teste de proporcionalidade do legítimo interesse em um Relatório de Impacto à Proteção de Dados Pessoais, ou peça a seus assessores jurídicos que o façam. Um bom escritório de advocacia poderá ser de grande ajuda aqui, na medida em que poderá preparar o relatório de impacto à proteção de dados pessoais em seu próprio relatório de due diligence.

3. Garanta que a infraestrutura tecnológica utilizada no data room atenda aos requisitos de segurança e prevenção da LGPD. Atualmente, há uma série de soluções que oferecem controles de acesso, encriptação de dados, aplicação de marcas d’água e restrições de download, impressão e compartilhamento.

4. Quando for a parte investigadora, elimine os dados pessoais ou, se permitido, os anonimize de forma irreversível após a conclusão da due diligence. Lembre-se de que um dos princípios da LGPD é o da finalidade, de modo que, se o tratamento foi admitido para os fins de uma due diligence, nenhum tratamento diverso posterior será permitido.

5. Instrua todos os assessores a realizar o tratamento de acordo com a LGPD, preferencialmente através de cláusulas contratuais escritas e expressas.

6. Garanta que seus assessores realizem apenas o tratamento das informações necessárias ao escopo da due diligence. Lembre-se do princípio da necessidade, pelo qual o tratamento deve ser restrito ao mínimo necessário para a realização de suas finalidades.

7. Sempre que possível, trabalhe com dados anonimizados ou pseudoanonimizados e utilize dados agregados ao invés de informações individuais.

8. Salvo em caso de absoluta necessidade e após uma análise jurídica criteriosa, não trate dados pessoais sensíveis, que são aqueles relacionados a origens raciais ou étnicas, convicções religiosas, opiniões políticas, filiações a sindicatos ou a organizações de caráter religioso, filosófico ou político, bem como dados referentes à saúde ou à vida sexual e dados genéticos ou biométricos, quando vinculado a uma pessoa natural.

O descumprimento da LGPD, mediante o tratamento indevido de dados pessoais, poderá implicar uma série de penalidades administrativas, como advertências, publicização das infrações e multas que podem alcançar até cinquenta milhões de reais. Desse modo, veja as recomendações acima como orientações de caráter geral, porém jamais dispense uma análise técnica criteriosa sobre cada situação concreta, a fim de mitigar os riscos de penalizações.

*Giordano Andrei dos Santos é advogado especializado em Direito dos Negócios e coordenador da área de societário e M&A do Carvalho, Machado e Timm Advogados

Comentários

Os comentários são exclusivos para assinantes do Estadão.