A necessidade de Due Diligence dos dados pessoais

Recentemente o ICO/UK publicou aviso de sua intenção de multar a Marriott International Inc. em £ 99.200.396 por infrações ao Regulamento Geral de Proteção de Dados (GDPR/UE). A multa proposta refere-se a um incidente cibernético que foi notificado ao ICO pela empresa Marriott em novembro de 2018.

Acredita-se que a vulnerabilidade começou quando os sistemas do grupo Starwood foram comprometidos em 2014. A Marriott adquiriu a Starwood em 2016, mas a exposição das informações do cliente não foi descoberta até 2018. A investigação do ICO concluiu que a Marriott não realizou diligência devida quando do processo de aquisição da Starwood, bem como julgou que a empresa deveria ter feito mais para proteger seus sistemas de proteção de dados.

O processo de M&A (Mergers and Acquisitions), em português Fusões e Aquisições, pode ser traduzido no conjunto de medidas de crescimento externo ou compartilhado de uma corporação, que se concretiza por meio da “combinação de negócios” e de reorganizações societárias. No referido processo, estão inseridas não somente compras de ativos empresariais e participações societárias, e a união de duas ou mais sociedades para a formação de uma terceira, mas também a formação de grupos societários, a constituição de sociedades de propósito específico (SPE), a formação de consórcios, a cisão, a incorporação de sociedades ou de ações etc.

As causas que justificam as empresas realizarem esse processo de M&A podem ser as mais variadas, como, por exemplo, absorver a tecnologia, know-hall da outra empresa, melhorar a operação, visar o domínio de um segmento de mercado, entre outros que estejam ligados à estratégia estabelecida pelas empresas. No caso citado, a Marriott adquiriu a Starwood, por US$ 13 bilhões de maneira a se tornar a maior rede hoteleira do mundo, ou seja, o processo de aquisição teve o objetivo principal de domínio de segmento.

Relativamente a esse processo de fusões e aquisições importa destacar que as empresas envolvidas realizam o chamado Due Diligence, um procedimento de auditoria que tem por objetivo obter a melhor compreensão possível do negócio a ser adquirido ou “combinado”; aumentar a possibilidade de uma escolha acertada; possibilitar ajustes no preço; realizar uma avaliação dos riscos da operação e do negócio; e reduzir a exposição do vendedor a eventuais reclamações do comprador, em caso de venda de ativos empresariais ou participações societárias.

Em suma, é uma análise da empresa, que inclui aspectos como sua área de atividade, as possibilidades e perspectivas para o futuro do negócio e o estado de seus ativos e passivos. Tradicionalmente, o due diligence visa analisar aspectos financeiros, fiscais-contábeis, legais e visões de riscos da empresa. Contudo, o caso Marriott nos mostra que no processo de M&A a empresa, ao realizar uma aquisição corporativa, deverá realizar a devida diligência sobre o panorama dos dados pessoais da empresa que será adquirida.

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), a qual é espelhada no General Data Protection Regulation – GDPR, entrará em vigor a partir de agosto de 2020, fazendo com que as empresas prestem a devida proteção aos dados dos titulares que detêm. Diante da entrada em vigor da LGPD será imperativo que, em um processo de M&A, o due diligence deverá contemplar o panorama de dados, sejam privados ou sensíveis, da empresa objeto da aquisição.

Deverá a empresa adquirente auditar a futura adquirida com as lentes normativas da LGPD, averiguando se a empresa a ser adquirida encontra-se em conformidade, se possui inventário de dados com devido apontamento das hipóteses legais, se os contratos com terceiros possuem cláusulas específicas sobre proteção de dados, se sua política de privacidade e seu código de conduta estão em conformidade com a LGPD, se há medidas técnicas para proteção dos dados, bem como se há relatório de impacto, entre outros diversos pontos.

É certo também que será necessária colaboração entre auditores, comitês de proteção de dados, Data Officer Protection – DPO, CISO, jurídico, entre outros, na fase do due diligence referente aos dados da empresa alvo do processo de M&A, de forma a melhor gerirem tal procedimento e para análise dos riscos que permeiam esse ecossistema de dados.

Ao final do processo de M&A, o que se busca é concluir como se dará a reorganização societária das empresas, o que em si não impacta as liberdades e os direitos fundamentais de consumidores e funcionários da corporação. Além disso, está dentro das legítimas expectativas do titular dos dados de que tais reestruturações societárias ocorram. (BIONI, 2019, p. 259).

Algo a ser considerado, no entanto, é se tal reorganização implicará agregação e concentração de mais dados sobre um indivíduo. Em casos de M&A, o titular do dado mantinha relações distintas com tais organizações e em contextos diferentes para produtos ou serviços igualmente díspares. Eventual cruzamento dessas bases de dados pode impactar negativamente as suas liberdades e direitos fundamentais, a depender do quão intrusivo seja tal combinação de dados e do próprio modelo de negócio em si. (BIONI, 2019, p. 259).

Prudentes são as palavras da Comissária do ICO/UK, Elizabeth Denham: “Dados pessoais têm um valor real, então as organizações têm o dever legal de garantir sua segurança, assim como fariam com qualquer outro ativo. Se isso não acontecer, não hesitaremos em tomar medidas firmes quando necessário para proteger os direitos do público.”

Nesse contexto, bem como o fato da multa de mais de £ 99 milhões a ser aplicada à Marriott Inc. pela falta de diligência no processo de M&A com a Starwood, conjugado, ainda, com a iminente entrada em vigor da LGPD, fica o alerta às empresas de que, em seu processo de fusões e aquisições, deverão realizar o Due Diligence dos dados pessoais a serem adquiridos da empresa objeto.

Luiz Krug Dulinski é Advogado. Especialista em Processo Civil pela UFRGS. MBA em Gestão Financeira e Econômica de Tributos pela FGV. Especialista em Privacidade e Proteção de Dados pelo INSPER.