Aplicação da LGPD na auditoria legal em operações de M&A

Em contrapartida ao crescimento interno ou orgânico das empresas, estas se valem de estratégias de crescimento externo ou inorgânico, consubstanciadas em operações de M&A, termo que se origina do inglês (Mergers & Acquisitions) e que foi literalmente traduzido, para o português, como Fusões e Aquisições.

Independentemente do tipo de operação de M&A adotada, é comum e sensato que as partes envolvidas realizem uma auditoria (due diligence) para apurar diversos aspectos das empresas envolvidas e a real situação das companhias (ou, no caso de aquisição, da empresa a ser vendida), além de eventuais passivos e/ou contingências que possam influenciar no fechamento da transação, na fixação do preço e/ou no respectivo pagamento, entre outras condições que as partes venham a pactuar.

Durante o processo de due diligence, as partes solicitam umas das outras dados, informações e/ou documentos das mais diversas naturezas, de modo que possam conhecer o ativo e ter segurança na transação.

É neste momento que as partes devem atuar em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709/2018, que entrou em vigor em 2021, uma vez que, dentre as análises a serem realizadas na due diligence, está incluída a dos documentos e/ou informações que contêm dados pessoais de funcionários e, eventualmente, de terceiros, fornecedores, clientes e/ou parceiros, tais como nome, endereço, remuneração, exames médicos e atestados de admissão e/ou demissão, deficiências físicas, dentre outras.

Importante ressaltar, todavia, que a LGPD, em linhas gerais, protege as pessoas físicas (e não as jurídicas), regulando o tratamento — toda operação realizada com dados pessoais — de dados da pessoa natural.

Com o advento da LGPD, os dados pessoais passaram a ter maior proteção jurídica, o que impactou e vem impactando diretamente inclusive as operações de M&A, haja vista que, conforme mencionado, para que uma empresa possa adquirir outra, é necessário que aquela obtenha informações sobre o negócio que pretende adquirir, o que inclui dados pessoais de funcionários, terceiros, fornecedores, clientes e parceiros.  

É comum que, em operações de M&A, as partes envolvidas celebrem documentos que prevejam cláusulas de confidencialidade ou acordos de confidencialidade específicos. No entanto, muitas vezes as exigências específicas da LGPD ultrapassam, e potencialmente conflitam, com o dever de sigilo e confidencialidade assumido pelas partes envolvidas, especialmente no que tange ao compartilhamento de dados pessoais e dados pessoais sensíveis.

Isso porque, ao mesmo tempo em que uma operação de M&A tem caráter sigiloso em razão da grande troca de informações e, também, para evitar que funcionários, parceiros, fornecedores e, principalmente, concorrentes, saibam da operação de forma antecipada e precária (pois ainda não está concluída), quando há compartilhamento de determinadas bases de dados pessoais referentes a pessoas naturais ligadas a qualquer das partes envolvidas (principalmente dos funcionários, clientes, parceiros, dentre outros, da empresa a ser vendida), a due diligence acaba implicando no tratamento de dados pessoais.

De acordo com a LGPD, o tratamento de dados pessoais deve observar a boa-fé e alguns princípios, dentre os quais destaca-se o princípio da finalidade, caracterizado pela realização do tratamento para propósitos legítimos, específicos, explícitos e informados aos titulares (artigo 6º, inciso I, LGPD), bem como o princípio da transparência perante os titulares, observada a preservação do segredo comercial (artigo 6º, VI, LGPD).

Sendo assim, como conciliar a confidencialidade de uma operação de M&A com a obrigação de transparência perante os titulares dos dados pessoais?

Nos termos da LGPD, as empresas envolvidas configuram-se como controladoras, ou seja, a elas competem as decisões referentes ao tratamento dos dados pessoais que estão sendo transacionados na operação de M&A.

O artigo 7º da LGPD prevê as hipóteses em que as controladoras podem realizar o tratamento de dados pessoais, como através do consentimento expresso do titular dos dados pessoais, ou através de outras formas que dispensam o consentimento do titular.

Resta claro que a obtenção de consentimento prévio dos titulares dos dados pessoais em uma operação de M&A, ainda em caráter preliminar e sigilosa, pode inviabilizá-la, seja em razão da inevitável divulgação da operação, pelo tempo necessário à obtenção do consentimento, possibilidade de o titular não consentir ou revogar o consentimento a qualquer tempo, seja pela possibilidade de os funcionários das empresas envolvidas ficarem inseguros e preocupados com a transação e as consequências que ela pode ensejar, como, principalmente, demissões em razão da sinergia que as partes podem ter após a venda ou fusão entre elas.

Logo, se há, em princípio, uma dependência do consentimento do titular dos dados pessoais para sua divulgação a um terceiro (parte interessada na transação), não resta outra opção senão verificar as demais hipóteses em que o tratamento de dados pessoais é permitido pela LGPD.

Neste sentido, o mesmo artigo 7º prevê que o tratamento de dados pessoais poderá ser realizado independentemente do consentimento do titular quando este tratamento for necessário para atender aos interesses legítimos do controlador ou de terceiro. Assim, ao se considerar que uma operação de M&A é uma estratégia empresarial lícita e fundamentada na liberdade econômica dos agentes, parece razoável inferir que o tratamento de dados pessoais realizado no contexto da operação tem como base legal o "legítimo interesse" das partes envolvidas.

No entanto, a utilização da base legal do "legítimo interesse" demanda cautela, haja vista que não autoriza qualquer tratamento de dados pessoais sensíveis, assim definidos como dados pessoais sobre origem étnica ou racial, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, ou dado genético ou biométrico.

Sendo assim, é recomendável que os dados pessoais sensíveis sejam separados dos demais dados pessoais a serem compartilhados, de forma que os dados pessoais sensíveis não sejam divulgados indevidamente, caso a parte divulgadora não tenha obtido o consentimento prévio e expresso dos respectivos titulares, conforme determina o artigo 11 da LGPD. Isso porque, caso ocorra o compartilhamento em desacordo com a LGPD e tal situação acarrete dano patrimonial, moral, individual ou coletivo, as empresas envolvidas, sem prejuízo de incorrerem nas sanções administrativas previstas na legislação, as quais podem ser aplicadas pela autoridade nacional de acordo com as peculiaridades do caso concreto (artigo 52 da LGPD), poderão ter que reparar o (s) titular (es) dos dados pessoais, na condição de responsáveis solidárias (artigo 42 da LGPD), salvo na hipótese de a (s) empresa (s) envolvida (s) conseguir(em) provar que 1) não realizou(aram) o tratamento de dados pessoais que lhe (s) é atribuído; 2) que, embora tenha (m) realizado o tratamento de dados pessoais que lhe (s) é atribuído, não houve violação à LGPD; ou 3) que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro (artigo 43 da LGPD).

Em que pese o tratamento de dados pessoais possa ser realizado com base no "legítimo interesse" das partes envolvidas em uma operação de M&A, é prudente e recomendado que as partes celebrem termos de consentimento específicos com os titulares de dados pessoais (sejam funcionários, clientes, parceiros ou outras pessoas naturais das quais a empresa detenha dados pessoais), os quais prevejam a possibilidade de compartilhamento de dados com terceiros para fins de avaliação do interesse na aquisição ou alienação da empresa, conciliando, assim, a preservação da confidencialidade e a transparência perante os titulares.