in

A relevância dos programas de conformidade e governança em privacidade e proteção de dados pessoais nas operações de M&A 

Daniela Nogueira*

Há algum tempo venho defendendo a importância da LGPD como instrumento de inovação das empresas nos diversos setores econômicos. Entretanto, muito antes de pensar em inovar, a organização precisa garantir seu crescimento e perenidade no mercado, o que pode se dar por meio de processos de fusões e aquisições (F&A) ou operações de M&A, sigla para Mergers & Acquisitions na língua inglesa.

O que pode passar despercebido é que tais processos também esbarram nos Programas de Conformidade e Governança em Privacidade e Proteção de Dados Pessoais como instrumento hábil a garantir a conformidade legal, impulsionando a operação pretendida.

Impacto da conformidade nas fusões e aquisições 

Um exemplo clássico disso é o paradigmático caso Marriott International Inc. & Starwood Hotels and Resorts Worldwide Inc.

Em 30 de outubro de 2020, a autoridade de proteção de dados do Reino Unido (Information Commissioner’s Office – ICO) comunicou o sancionamento de uma multa no valor de 18,4 milhões de euros à Marriott, impactando a aquisição da rede de hotéis Starwood pela empresa. 

A penalidade foi motivada por um incidente de segurança da informação ocorrido em 2014, consistindo em uma invasão aos sistemas da Starwood que afetou a segurança de 339 milhões de registros de hóspedes, contendo informações de cadastro e de contato e dados referentes a passagens aéreas e programas de fidelidade. 

O incidente, que garantiu privilégios ilimitados ao invasor e o acesso e a edição irrestrita dos dados pessoais, teria sido detectado apenas em setembro de 2018, dois anos após a aquisição da rede Starwood pela Marriott. 

Diante disso, apesar de a Marriott ter adquirido a Starwood apenas em 2016, o ICO entendeu que a empresa não adotou medidas técnicas e administrativas suficientes na proteção dos dados pessoais armazenados nos respectivos sistemas, de tal maneira que o incidente foi apenas detectado e combatido tardiamente. 

Operações de M&A e due diligence

É sabido que, tanto nas operações de M&A, quanto nos Programas de Conformidade e Governança em Privacidade e Proteção de Dados Pessoais, é elaborado um cronograma de ações aderente ao contexto organizacional, contendo algumas etapas interdependentes, dentre elas a etapa de auditoria ou due diligence, englobando diversas áreas e atividades do negócio e seus stakeholders

No caso das operações de M&A, a due diligence corresponde a uma auditoria jurídica e financeira, realizada com o intuito de conhecer e minimizar eventuais riscos do processo de M&A, na qual a sociedade-alvo divulga aos potenciais compradores informações sobre os seus negócios e contingências associadas. 

Já nos Programas de Conformidade a etapa é necessária para se conhecer e avaliar os riscos de privacidade e proteção de dados nas operações com dados pessoais realizadas pela empresa e por seus stakeholders, como fornecedores e parceiros de negócio. 

Nesse ecossistema, vale lembrar que tais atores são um elo fraco da cadeia de tratamento de dados se não tiverem o mesmo nível de controle de segurança da informação e de conformidade à lei. 

Abordagem baseada no risco

Ao assumir uma abordagem baseada no risco, as empresas classificam seus stakeholders com base em fatores como volume e natureza dos dados tratados para definir o tipo de análise a ser realizada e, uma vez mapeados os processos e realizado o inventário de dados tratados por determinado parceiro de negócio, é possível construir o plano de ação contendo as medidas técnicas e administrativas necessárias a garantir a segurança da informação.

No caso em tela, apesar de a Marriott ter adquirido a Starwood apenas em 2016, se a operação de M&A tivesse ocorrido de forma aderente ao Programa de Conformidade da empresa, seguramente os riscos do incidente de segurança da informação ocorrido em 2014 teriam sido identificados, permitindo a adoção das medidas técnicas e administrativas suficientes à proteção dos dados pessoais em tempo razoável e mitigando riscos, coibindo assim a aplicação da sanção pecuniária e evitando os danos à reputação da empresa como perda de receita, aumento de custos e notícias na mídia.

Dessa forma, os Programas de Conformidade e Governança em Privacidade e Proteção de Dados Pessoais se demonstram relevantes, principalmente nas operações de M&A cujo negócio adquirido envolva o tratamento de dados pessoais em grande volume e escala, sendo imprescindível o ajuste da visão, das estratégias e da forma de operar e atuar na gestão das informações pelas empresas, mitigando riscos à sua sobrevivência e perenidade, bem como na consolidação das estratégias de negócio.

Leia outros artigos da autora:

Como a LGPD pode contribuir com a inovação no mercado minerário
Como a LGPD pode contribuir com a inovação no mercado da construção civil
Como a LGPD pode contribuir com a inovação no mercado de startups


Daniela Nogueira de Almeida: Advogada especialista em direito eletrônico, privacidade e proteção de dados pessoais. Consultora na Privacy Soluções em Privacidade e Segurança da Informação.

lei do cadastro positivo

A LGPD e a Lei do Cadastro Positivo

Sharenting

Como o sharenting afeta a privacidade dos pré-borns, das crianças e dos menores?