Daniela Nogueira*
Há algum tempo venho defendendo a importância da LGPD como instrumento de inovação das empresas nos diversos setores econômicos. Entretanto, muito antes de pensar em inovar, a organização precisa garantir seu crescimento e perenidade no mercado, o que pode se dar por meio de processos de fusões e aquisições (F&A) ou operações de M&A, sigla para Mergers & Acquisitions na língua inglesa.
O que pode passar despercebido é que tais processos também esbarram nos Programas de Conformidade e Governança em Privacidade e Proteção de Dados Pessoais como instrumento hábil a garantir a conformidade legal, impulsionando a operação pretendida.
Impacto da conformidade nas fusões e aquisições
Um exemplo clássico disso é o paradigmático caso Marriott International Inc. & Starwood Hotels and Resorts Worldwide Inc.
Em 30 de outubro de 2020, a autoridade de proteção de dados do Reino Unido (Information Commissioner’s Office – ICO) comunicou o sancionamento de uma multa no valor de 18,4 milhões de euros à Marriott, impactando a aquisição da rede de hotéis Starwood pela empresa.
A penalidade foi motivada por um incidente de segurança da informação ocorrido em 2014, consistindo em uma invasão aos sistemas da Starwood que afetou a segurança de 339 milhões de registros de hóspedes, contendo informações de cadastro e de contato e dados referentes a passagens aéreas e programas de fidelidade.
O incidente, que garantiu privilégios ilimitados ao invasor e o acesso e a edição irrestrita dos dados pessoais, teria sido detectado apenas em setembro de 2018, dois anos após a aquisição da rede Starwood pela Marriott.
Diante disso, apesar de a Marriott ter adquirido a Starwood apenas em 2016, o ICO entendeu que a empresa não adotou medidas técnicas e administrativas suficientes na proteção dos dados pessoais armazenados nos respectivos sistemas, de tal maneira que o incidente foi apenas detectado e combatido tardiamente.
Operações de M&A e due diligence
É sabido que, tanto nas operações de M&A, quanto nos Programas de Conformidade e Governança em Privacidade e Proteção de Dados Pessoais, é elaborado um cronograma de ações aderente ao contexto organizacional, contendo algumas etapas interdependentes, dentre elas a etapa de auditoria ou due diligence, englobando diversas áreas e atividades do negócio e seus stakeholders
No caso das operações de M&A, a due diligence corresponde a uma auditoria jurídica e financeira, realizada com o intuito de conhecer e minimizar eventuais riscos do processo de M&A, na qual a sociedade-alvo divulga aos potenciais compradores informações sobre os seus negócios e contingências associadas.
Já nos Programas de Conformidade a etapa é necessária para se conhecer e avaliar os riscos de privacidade e proteção de dados nas operações com dados pessoais realizadas pela empresa e por seus stakeholders, como fornecedores e parceiros de negócio.
Nesse ecossistema, vale lembrar que tais atores são um elo fraco da cadeia de tratamento de dados se não tiverem o mesmo nível de controle de segurança da informação e de conformidade à lei.
Abordagem baseada no risco
Ao assumir uma abordagem baseada no risco, as empresas classificam seus stakeholders com base em fatores como volume e natureza dos dados tratados para definir o tipo de análise a ser realizada e, uma vez mapeados os processos e realizado o inventário de dados tratados por determinado parceiro de negócio, é possível construir o plano de ação contendo as medidas técnicas e administrativas necessárias a garantir a segurança da informação.
No caso em tela, apesar de a Marriott ter adquirido a Starwood apenas em 2016, se a operação de M&A tivesse ocorrido de forma aderente ao Programa de Conformidade da empresa, seguramente os riscos do incidente de segurança da informação ocorrido em 2014 teriam sido identificados, permitindo a adoção das medidas técnicas e administrativas suficientes à proteção dos dados pessoais em tempo razoável e mitigando riscos, coibindo assim a aplicação da sanção pecuniária e evitando os danos à reputação da empresa como perda de receita, aumento de custos e notícias na mídia.
Dessa forma, os Programas de Conformidade e Governança em Privacidade e Proteção de Dados Pessoais se demonstram relevantes, principalmente nas operações de M&A cujo negócio adquirido envolva o tratamento de dados pessoais em grande volume e escala, sendo imprescindível o ajuste da visão, das estratégias e da forma de operar e atuar na gestão das informações pelas empresas, mitigando riscos à sua sobrevivência e perenidade, bem como na consolidação das estratégias de negócio.
Leia outros artigos da autora:
Como a LGPD pode contribuir com a inovação no mercado minerário
Como a LGPD pode contribuir com a inovação no mercado da construção civil
Como a LGPD pode contribuir com a inovação no mercado de startups
Daniela Nogueira de Almeida: Advogada especialista em direito eletrônico, privacidade e proteção de dados pessoais. Consultora na Privacy Soluções em Privacidade e Segurança da Informação.