Datasite Logo

Dados com Destino: como o GDPR e a LGPD estão mudando o M&A

Por Suzy Bibko, gerente de marketing de conteúdo, EMEA e Alexandra Drummond, Gerente de Marketing, LATAM

Já se passaram três anos desde que a União Européia introduziu a Regulação Geral de Proteção de Dados (GDPR) e, apesar dos sólidos números de M&A durante a pandemia, os players europeus enfrentam uma ansiedade crescente em torno dos dados. 

Vigente no Brasil desde 2020, a Lei Geral de Proteção de Dados (LGPD) também regula as atividades de tratamento de dados pessoais e altera os artigos 7º e 16º do Marco Civil da Internet. Fundamentada em diversos valores, a legislação cria um conjunto de novos conceitos jurídicos, estabelece as condições nas quais os dados pessoais podem ser tratados, define um conjunto de direitos para os titulares dos dados, gera obrigações específicas para os controladores dos dados e cria uma série de procedimentos e normas para que haja maior cuidado com o tratamento de dados pessoais e compartilhamento com terceiros.

No Brasil, nenhum negociador sensato busca uma transação que o exponha a multas regulatórias de até 2% de seu faturamento líquido no seu último exercício, bem como a danos significativos à reputação. 

Na União Européia, três anos após a entrada em vigor do GDPR, esses temores, aliados à multa de até 4% do faturamento global, são cada vez mais importantes durante os processos de M&A - particularmente no contexto do aumento da atividade de negócios na indústria de tecnologia centrada em dados.

Inevitavelmente, a atividade geral de M&A foi impactada pela pandemia. Dados da Mergermarket revelam que havia 6.635 transaçõess no valor de US$ 1.4 trilhões nas Américas durante 2020; uma queda de 14% na quantidade de deals e 23% em valor, em relação ao ano anterior.  Segundo estimativas do FMI, Estados Unidos e Canadá sofreram quedas do PIB de 3,4% e 5,5%, respectivamente, em 2020, enquanto o PIB da América Latina e Caribe caiu 7,4%.

Os setores de tecnologia, mídia e telecomunicações (TMT) e farmacêutica, saúde e biotecnologia (PMB) foram as duas maiores indústrias por valor de negócio e entre elas representaram sete das 10 maiores transações de M&A durante o ano nas Américas. Os números refletem o foco nesses dois setores durante a pandemia, à medida que governos e sociedades se adaptaram ao trabalho e às compras remotos e investiram para enfrentar o impacto da pandemia na saúde pública.

Dados importantes

O valor dos dados sustenta muitas dessas transações, com avaliações muitas vezes impulsionadas pelos esforços do setor de tecnologia para alavancar seus dados para uma visão de negócios e vantagem comercial. Nesse contexto, o GDPR na Europa se tornou uma questão crucial no processo de negociação. Os adquirentes estão preocupados por dois motivos: como eles podem se tornar responsáveis por violações históricas da regulamentação nas empresas-alvo; e como o GDPR pode impedir que eles capitalizem o valor total da meta.

Ao que tudo indica, a LGPD já suscita tais preocupações, com a busca das empresas por soluções de segurança de dados e proteção de acordo com a Lei e a criação do órgão responsável por fiscalizar a segurança dos dados pessoais por parte das pessoas jurídicas, a ANPD (Autoridade Nacional de Proteção de Dados).

Em nossa recente pesquisa com negociadores globais, 55% dos entrevistados disseram que estiveram envolvidos em transações de M&A que foram paralisadas devido a preocupações com as práticas de proteção de dados do alvo e sua conformidade com o GDPR.

Esse número reflete o amplo escopo e a importância da LGPD. O regulamento entrou em vigor em setembro de 2020, quando o Brasil procurou forçar as organizações a fortalecerem suas políticas e processos de proteção de dados. Multas de até 2% do faturamento global anual ou R$50 milhões por infração aguardam qualquer organização que infrinja seus requisitos. As violações também expõem as empresas ao escrutínio público e ao opróbrio.

Por esse motivo, a conformidade com a LGPD se tornou uma questão de alta prioridade para todas as empresas que buscam realizar fusões e aquisições. As disposições da LGPD se aplicam a qualquer organização que coleta ou trata dados pessoais e que traz quase todos os alvos em potencial dentro de seu escopo.


Os dados devidos

A LGPD, portanto, deve ser o foco principal do trabalho de due diligence. Os adquirentes temem tornar-se responsáveis por violações de proteção de dados no destino, ou mesmo que tenham que arcar com os custos de violações que ocorreram antes da conclusão da transação, mas que só veio à tona mais tarde.

Este risco está longe de ser teórico. No Reino Unido, por exemplo, o Information Commissioner's Office no ano passado multou o grupo hoteleiro Marriott em £18,4 milhões depois que descobriu que um banco de dados de clientes havia sido comprometido em 2014. Marriott adquiriu o banco de dados em questão quando comprou a empresa de hotéis rival Starwood em 2016. Em junho de 2021, o total de multas atingiu € 285 milhões, com a Itália tendo o valor mais alto de multas (€ 76 milhões) e a Espanha tendo o maior número de multas (237), com 'base jurídica insuficiente para processamento de dados' sendo a razão para a maioria das multas.

A identificação de tais violações pode não ser simples para os adquirentes, mas uma avaliação robusta das políticas e práticas de proteção de dados do alvo pode, pelo menos, fornecer alguma garantia de que a organização levou a sério suas responsabilidades. Inevitavelmente, no entanto, esse trabalho consome tempo, aumenta a carga de trabalho de due diligence e pode estender os prazos de negociação.

Os adquirentes também podem procurar se proteger de problemas que surgem após a conclusão da transação. Os acordos de M&A incluem cada vez mais representações e garantias abrangentes relacionadas à privacidade e proteção de dados.

Venda por dados

Muitos players desejam antecipar esses problemas, especialmente quando as empresas estão sendo gerenciadas com um processo de aquisição em mente. No mínimo, as organizações precisam estar cientes de seus pontos fortes - e quaisquer pontos fracos potenciais - quando se trata de conformidade com a LGPD e questões mais amplas de privacidade de dados. A capacidade de apontar para uma abordagem clara e consistente para proteção de dados aumentará a credibilidade de um alvo com potenciais adquirentes.

Uma parte importante disso é como as organizações gerenciam seus contratos de terceiros com fornecedores e prestadores de serviços. Isso geralmente expõe as organizações a riscos adicionais de proteção de dados. Na verdade, terceiros se tornaram uma rota preferida para os ciberataques na Europa - mas os detalhes de tais vulnerabilidades podem não ser imediatamente aparentes para um adquirente.

Outra questão é até que ponto o comprador está focado nos dados do destino como parte de sua estratégia de negócio. Em muitos casos, os ativos de informação do alvo podem ser responsáveis por uma parte significativa de sua avaliação, mas nem sempre é possível para um comprador adquirir todos esses dados. Isso ocorre porque a LGPD exige que as organizações reflitam sobre quais dados armazenam e retêm, com ênfase na exclusão de quaisquer dados que não sejam mais necessários por motivos justificáveis.

Os players que não dedicarem tempo às políticas e práticas de retenção de dados podem descobrir que não têm o direito de passar os dados legados para um adquirente, reduzindo seu valor se isso for algo que o comprador esteja apostando. Espera-se que os compradores estabeleçam as finalidades para as quais os dados que desejam adquirir foram originalmente obtidos; esses propósitos podem não ser mais válidos após o acordo.

Dados de entrega

Há muito a se considerar - e cada vez mais. Já em 2017, a gigante das telecomunicações dos Estados Unidos Verizon obteve um desconto de US$ 350 milhões na compra do Yahoo quando descobriu que a empresa de internet havia sofrido uma série de violações de dados. Desde então, uma pesquisa da Forescout Technologies descobriu que 73% das empresas consideram uma violação de dados não divulgada como uma quebra de negócio durante o M&A; 65% disseram que lamentam a conclusão do negócio em meio às preocupações com a segurança cibernética.

Esses números podem aumentar em breve, com a determinação européia no fortalecimento da regulamentação de proteção de dados e o início das sanções administrativas no Brasil. Na União Européia, Viviane Reding, a política luxemburguesa que administrou a aprovação do GDPR original, já está falando sobre uma revisão do regulamento. 

Se for esse o caso, o GDPR e a LGPD podem se tornar uma questão ainda mais importante para os players. Para muitas empresas, os problemas de proteção de dados podem representar um sucesso ou fracasso para as transações. A escolha de um data room virtual compatível com o GDPR e a LGPD para gerenciar seu projeto de due diligence é fundamental para maximizar a conformidade e minimizar os riscos e violações do LGPD. Use nosso checklist para ter certeza de que seu provedor não está colocando você e seus dados em risco.

Maximize a conformidade, minimize os riscos

Escolher um VDR que esteja em conformidade com a LGPD e a GDPR para gerenciar seu projeto de due diligence é fundamental para maximizar a conformidade e minimizar os riscos e violações. Use nosso checklist para ter certeza de que você está coberto.

Obtenha o Checklist

© 2022 Datasite Todos os direitos reservados