Data Protection Officer (Encarregado) - Ed. 2020

O Papel do Dpo em Fusões e Aquisições

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Andrea Ditolvo Vela de Almeida Prado 1

Mariana Ferreira Capozzoli 2

1. Introdução aos conceitos legais

Com a promulgação da Lei Geral de Proteção de Dados nº 13.709, de 14 de agosto de 2018 (“LGPD”), o Brasil, em consonância com outros países, visa regulamentar o tratamento de dados pessoais, com os objetivos de “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” (BRASIL, 2018), nos termos do artigo primeiro da referida Lei.

Dessa forma, a legislação tem como pilar central a proteção de dados pessoais, os quais são definidos no artigo 5º, inciso I, da LGPD como: toda a “informação relacionada a pessoa natural identificada ou identificável” (BRASIL, 2018). Embora o texto legal não defina a exata interpretação de “identificável”, é prudente esperar que, na interpretação da norma pela Agência Nacional de Proteção de Dados (“ANPD”), seja aplicada classificação idêntica àquela utilizada no considerando nº 26 do Regulamento Geral de Proteção de Dados Europeu (“GDPR”), englobando no conceito de dado pessoal não só as informações diretas relacionadas à identificação de uma determinada pessoa (tais como Nome, RG e CPF) como também quaisquer outras informações a ela relacionadas que possam levar a sua identificação, fazendo ainda distinção especial aos dados pessoais sensíveis, definidos taxativamente no artigo 5º, inciso II da LGPD 3 , em razão da sua especialidade e das diversas restrições impostas a seu tratamento (LEONARDI, 2019, p. 68).

O tratamento dos dados, por sua vez, possui definição legal ampla, incluindo qualquer tipo de operação que possa ser realizada com dados pessoais, desde a sua coleta, seu armazenamento e até sua eliminação 4 . É justamente nesse ponto que a LGPD produz reflexos nos mais diversos ramos do direito, como na esfera do Direito do Consumidor (com a coleta de dados para formação de uma base de clientes), no Direito Trabalhista (considerando a base de dados pessoais de funcionários e colaboradores), na esfera Civil/Contratual (em relação ao compartilhamento de tais dados com parceiros e prestadores de serviços), bem como do ponto de vista Societário e Empresarial, considerando o banco de dados como um ativo da empresa, o que pode trazer impactos às operações de aquisições ou fusões societárias:

a) tanto para fins de apuração do valor (“Valuation”) da empresa;

b) quanto na verificação dos riscos da operação, a depender da forma de tratamento dos dados.

Assim, é com enfoque no ponto de vista empresarial e societário que se faz necessário destacar a importância da atuação de outro agente especial introduzido pela LGPD, a figura do encarregado pelo tratamento de dados pessoais, mais comumente conhecido pela nomenclatura em inglês de “DPO” (Data Protection Officer).

2. Das funções do DPO

O DPO, muito além de mero elo de comunicação entre o controlador, os titulares dos dados e a ANPD, deve ser uma pessoa qualificada a atender a todas as funções disciplinadas, até então, nos incisos do parágrafo segundo do artigo 41 da LGPD, quais sejam:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (BRASIL, 2018).

O rol das atividades, anteriormente elencadas, não é exaustivo, tanto que o parágrafo terceiro 5 do mesmo artigo ressalta que a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, até mesmo da possibilidade de dispensa de sua indicação (BRASIL, 2018).

Por conseguinte, considerando que, no Brasil, a Lei Geral de Proteção de Dados ainda entrará em vigor, de modo que, até o presente momento, não foi sequer instalada a ANPD, carecendo, portanto, de orientações interpretativas emitidas pela referida autoridade, assim como de casos práticos e concretos de sua aplicação, vale destacar, em caráter complementar à LGPD, os padrões estabelecidos no artigo 37, 5, da GDPR 6 , que definem as qualidades profissionais para nomeação do referido encarregado, em especial, o conhecimento especializado das leis e práticas de proteção de dados, assim como a necessidade de envolvimento do DPO, de maneira adequada e oportuna, em todas as questões relacionadas à proteção de dados pessoais tratados pela empresa, nos termos do artigo 38, 1, da GDPR 7 .

Nesse sentido, além do conhecimento legal, nota-se que o DPO deve conhecer intimamente as práticas da empresa, sendo envolvido desde o início nas questões que versam sobre tratamento de dados, como uma fonte de aconselhamento, auxiliando no estabelecimento de uma governança, conforme destacado a seguir:

Garantir que o DPO seja informado e consultado desde o início facilitará a conformidade com a GDPR promoverá uma abordagem de privacidade desde a concepção e, portanto, deve ser um procedimento-padrão dentro da governança da organização. Além disso, é importante que o DPO seja visto como um parceiro de discussão dentro da organização e que ele ou ela faça parte dos grupos de trabalho relevantes que lidam com as atividades de processamento de dados dentro da organização (tradução nossa). 8

Portanto, a GDPR, assim como a LGPD, que em muito nela se inspirou, permite um envolvimento bastante amplo do DPO em toda e qualquer prática relacionado à proteção de dados.

De fato, nada impede, para fins de aplicação da legislação brasileira, que o DPO auxilie na estruturação de princípios e regulamentos de governança coorporativa, no tocante ao tratamento de dados pessoais e segurança da informação, uma vez que entre as funções descritas no artigo 41, retro mencionado, pela LGPD, consta justamente a orientação dos funcionários e contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

Ademais, resta estabelecido no inciso IV do mesmo artigo que o DPO executará as demais atribuições determinadas pelo controlador. Diante de tal disposição legal, é possível que o DPO seja escalado para acompanhamento das mais diversas operações, com foco na proteção e no tratamento de dados pessoais, entre as quais não se exclui a contribuição ativa desse profissional nas operações de fusões e aquisições, comumente designadas de M&A (Mergers and Acquisitions), na qual a sua atuação será de grande valia, conforme adiante exposto.

3. Operações de M&A

Conforme ressaltado anteriormente, a regulamentação legal do tratamento e proteção de dados pessoais gera reflexos nas mais diversas áreas de interesse, entre as quais ora destacamos as operações de M&A ou fusões e aquisições (F&A).

Tais operações, que na sua essência podem refletir uma “combinação de negócios” com reorganização societária, de forma alguma se limitando à “fusão”, quando duas ou mais sociedades se unem para formar uma terceira, ou à “aquisição”, em se tratando da aquisição da propriedade de um bem, como esclarece Botrel:

Estão inseridas na terminologia sob análise não somente compras de ativos empresariais e participações societárias, e a união de duas ou mais sociedades para a formação de uma terceira, mas também a formação de grupos societários, a constituição de sociedades de propósito específico (SPE), a contratação de sociedade em conta de participação (SCP), a formação de consórcios, a cisão, a incorporação de sociedades ou de ações etc. (2017, p. 23)

De fato, de acordo com pesquisa realizada pela Merrill Corporation e Euromoney Thought Leadership Consulting, com mais de 500 (quinhentos) profissionais que atuam em M&A, em toda Europa, Oriente Médio e África, pode-se observar que mais da metade já declarou ter desistido de alguma operação de fusão e aquisição, em razão da preocupação da adequação da empresa-alvo com a GDPR 9 .

Nesse sentido, cabe analisar entre as etapas normalmente adotadas no processo de M&A quais delas podem sofrer impactos da LGPD e, principalmente, quais poderiam contar com a colaboração do DPO.

Sofrendo variações de operação para operação, pode-se apontar como sendo as seguintes as etapas básicas de um processo de M&A:

a) Celebração de Termo de Confidencialidade ou NDA (Non-Disclosure Agreement);

b) Elaboração e assinatura de MOU (Memorandum of Understanding) 10 ou de uma LOI (Letter of Intent) 11 ;

c) Realização de Due Diligence 12 ;

d) Proposta; e

e) Celebração do Contrato Principal de Compra e Venda e dos Contratos Correlatos.

Como ressaltado, tais etapas podem variar de operação para operação, sendo até mesmo possível a realização de Due Diligence antes de todos os demais atos listados, não sendo recomendado, no entanto, sua execução com a consequente permissão de acesso aos documentos/informações da empresa-alvo, sem a formalização de um Termo de Confidencialidade.

Não obstante, é possível verificar nas operações de M&A que a atuação do DPO confere um nível mais elevado de maturidade às empresas, em razão dos benefícios da participação desse agente capacitado que, sem dúvidas, contribuirá para apontar fragilidades em...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548797/o-papel-do-dpo-em-fusoes-e-aquisicoes-data-protection-officer-encarregado-ed-2020