Durante processos de fusão e aquisição de empresas, vários pontos econômicos devem ser considerados, como rotinas de compliance e os dados. No entanto, a transformação digital também afetou as rotinas corporativas. Os cuidados que passam pela segurança digital também são importantes. Isso vale especialmente se as empresas envolvidas são afetadas por leis, como GDPR e LGPD. Criadas para dar mais transparência para o uso de dados corporativos, GDPR e LGPD são duas normas que podem afetar processos de M&A em todo o planeta. Quer saber como isso ocorre? Então continue a leitura!

O que é a LGPD? A Lei Geral de Proteção de Dados Pessoais (ou apenas LGPD) é uma regulamentação brasileira voltada para dar mais transparência para o uso, o compartilhamento, o armazenamento e o processamento de dados pessoais por órgãos públicos e privados em todo o território nacional. A Lei nº 13.709 foi sancionada em 2018 e passará a valer de maneira definitiva a partir de agosto de 2020. A LGDP regula todos os processos corporativos que utilizam informações privadas de terceiros. Análise de crédito, rotinas de Big Data ou mesmo de gestão fiscal são alguns exemplos. As empresas que não se adaptarem ao novo conjunto de normas podem pagar multa de até 2% do seu faturamento anual (valor limitado a R$ 50 milhões). Ela é a primeira norma brasileira que trata deste assunto. Até então, as empresas estavam limitadas ao que diz a lei geral de privacidade.

O que é a GDPR? A General Data Protection Rule (Regulamento Geral de Proteção de Dados — GDPR) é uma norma vigente na União Europeia que trata de temas semelhantes ao da LGPD. Ela foi formulada para atualizar as leis de privacidade existentes no bloco econômico, que foram criadas na década de 1990. Assim, como a LGPD, a GDPR traz uma série de regras para restringir abusos e garantir que o usuário tenha mais controle sobre os seus dados. Nesse caso, ela é válida para todos os negócios e empresas públicas que fazem uso de informações de pessoas que vivem na União Europeia, mesmo que eles tenham sede em outros países. Para garantir que multas sejam aplicadas fora do bloco, a UE já anunciou que pretende trabalhar com governos de todos os países aliados para garantir que as suas regras sejam aplicadas corretamente.

Como GDPR e LGPD se assemelham e se diferenciam? Existem algumas diferenças entre GDPR e LGPD. Elas podem afetar diretamente o modo como empresas são estruturas após a ocorrência de um processo de fusão ou aquisição, especialmente em um cenário de atuação global. Portanto, veja abaixo alguns pontos importantes que devem ser considerados quando o seu negócio for atuar em vários países:

1. A LGPD permite o uso de dados sensíveis em condições especiais, enquanto a GDPR restringe o uso apenas ao que for tornado público pelo titular ou que sejam de membros e ex-membros de organizações sem fins lucrativos com o devido tratamento;

2. A LGPD exige o consentimento de pais ou responsáveis para o tratamento de dados de menores, enquanto a lei europeia permite o consentimento para maiores de 16 anos;

3. Para a lei europeia, o controlador dos dados deve ter um representante legal em um dos Estados-Membros, enquanto a GDPR prevê que empresas estrangeiras serão notificadas e intimadas por meio de representantes legais ou qualquer escritório que esteja instalado no país.
   

Como preparar a sua empresa para a GDPR e LGPD? A adequação da empresa a GDPR e LGPD é imperativa. Por isso, os gestores devem adotar algumas práticas para atender aos preceitos da lei. A seguir, pontuamos 5 condutas necessárias.

Organize sua base de dados Quais os dados de pessoas físicas estão nos sistemas da empresa? A primeira medida para se adequar a GDPR e LGPD é fazer um levantamento de sua base de dados. Qualquer informação que se relacione a uma pessoa natural identificada ou identificável (incluindo cookies) deve ser considerada. Os gestores classificar os dados antes de organizá-los. Existem dados considerados sensíveis, que identificam raça, etnia, religião, opiniões políticas e outras características. Eles devem ter especial atenção. Após a classificação, é preciso separar os dados que são úteis ao negócio e aqueles que podem ser descartados. Com a organização feita, é preciso pensar em qual hipótese legal a empresa se encaixa.

Selecione o enquadramento legal De acordo com a LGPD, existem 10 hipóteses de ocorrência de tratamento de dados pessoais. A empresa precisa se inserir em um desses fundamentos legais. Veja as hipóteses:

1. Execução de contrato ou de procedimentos preliminares a ele relacionado, do qual seja parte o titular e a seu pedido;

2. Atendimento aos interesses legítimos do controlador ou de terceiro, exceto nos casos ressalvados pela lei;

3. Tratamento e uso compartilhado de dados necessários à execução de políticas públicas;

4. Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde;

5. Exercício regular de direitos em processo judicial, administrativo ou arbitral;

6. Proteção do crédito, inclusive quanto ao disposto na legislação pertinente;

7. Proteção da vida, da incolumidade física do titular ou de terceiro;

8. Cumprimento de obrigação legal ou regulatória pelo controlador;

9. Realização de estudos por órgão de pesquisa;

10. Fornecimento de consentimento pelo titular.
    

Crie um modelo de autorização para obtenção dos dados A hipótese comum para boa parte das empresas é o fornecimento de consentimento pelo titular dos dados. Considerando isso, é preciso coletar sua anuência. Para tanto, é preciso criar um modelo de autorização para obtenção dos dados. De acordo com a lei, o consentimento é um “pronunciamento livre, informado e inequívoco por meio do qual os titulares de dados concordam com o processamento de seus dados pessoais para um propósito específico”. Além do modelo de autorização, é importante adotar também uma política de privacidade clara e objetiva, que seja compreendida pelo usuário. Nessa política, deve conter informações que explicitem a finalidade dos dados coletados, bem como a justificativa para a coleta.

Invista na cibersegurança O investimento em segurança de dados é uma prática que deve ser adotada por qualquer empresa, em qualquer circunstância. Porém, diante das exigências de GDPR e LGPD, é ainda mais necessário pensar em segurança de dados. Se a organização tratar dados sensíveis, a proteção deve ser ainda maior para evitar invasões e vazamento de dados. Isso envolve treinar a equipe, ter um bom planejamento de segurança, manter as normas de segurança clara, e utilizar ferramentas adequadas para compartilhar informações.

Nomeie um responsável pela LGPD Uma forma importante de se adequar a GDPR e LGPD é nomear um responsável para monitorar as ações implementadas. A lei o chama de “Encarregado de Proteção de Dados” ou Data Protection Officer (DPO). Ele será a interface da empresa com a Autoridade Nacional de Proteção de Dados, figura criada pela lei brasileira. O Encarregado trabalha desde o mapeamento dos dados já coletados até a manutenção dos processos. Ele também é responsável por treinar os colegas diante dos cuidados necessários e estipulados pelas normas. Por isso, é essencial para evitar erros que ocasionam multas ou vazamentos de dados.

Por que considerar as regras da GDPR e LGPD durante os processos de M&A? Diante da cobertura que a GDPR e a LGPD tem, é fundamental que negócios estejam atentos para o impacto de tais regras nos processos de fusão e aquisição. Em todas as etapas (da diligência legal ao fechamento dos processos de transição), os líderes precisam estar atentos para como os dados serão manipulados e quais serão as regras válidas após o fim das ações. Na diligência, por exemplo, pode-se verificar quais são os tipos de dados pessoais armazenados pelos envolvidos e como eles são manipulados. Dessa forma, é possível reformular processos de segurança de modo abrangente e preciso, diminuindo as chances de algo errado ocorrer. Também é importante considerar o nível de maturidade que os envolvidos têm com os processos de gestão de dados modernos. Se o nível for baixo, será necessário realizar treinamentos para garantir que tudo seja alinhado corretamente. Em outras palavras, todas as etapas do processo de M&A precisam ser feitos considerando os impactos que a LGPD e a GDPR terão nos resultados e na complexidade das operações. O nível de maturidade, as diferenças de rotinas internas, as adaptações que deverão ser realizadas e demais fatores precisam entrar em consideração para que as empresas possam identificar a viabilidade exata da ação. Assim, os riscos e expectativas são alinhados da forma correta e todos poderão realizar um processo de alta rentabilidade.

Como as violações de privacidade podem afetar empresas? O investimento em segurança de dados tornou-se um dos pontos mais críticos para empresas modernas. Quando há a capacidade de manter dados estratégicos protegidos, por exemplo, o negócio ganha confiabilidade do mercado. Consequentemente, aumenta a sua competitividade. Ao mesmo tempo, evita todos os problemas relacionados a vazamentos, como multas e processos judiciais. Com a criação de leis como GDPR e LGPD, as empresas devem estar ainda mais atentas. As novas legislações colocaram a privacidade no centro das operações de todas as empresas. No novo cenário, quem não se adapta está sujeito a multas e a problemas legais. Portanto, em processos de M&A, todos os envolvidos devem estar atentos ao cumprimento da GDPR e LGPD. Se o processo for executado sem o devido cuidado com as leis que tratam de privacidade, as chances de multas serem aplicadas a médio e longo prazo serão elevadas. Além disso, há a chance de os envolvidos terem que lidar com uma política de privacidade menos eficaz. Como GDPR e LGPD são duas normas que aumentam a confiabilidade da infraestrutura de TI, é importante, portanto, que cuidados sejam tomados nesse sentido. Assim, o processo de M&A poderá ser feito sem comprometer as operações dos negócios e com baixo risco de informações importantes serem acessadas por terceiros. Gostou da nossa dica? Nosso blog é cheio de conteúdos que abordam o universo corporativo. Assine a nossa newsletter!