Due Diligence Digital em Fusões e Aquisições
Adquirir uma empresa sem examinar seus dados é como comprar um imóvel sem vistoriar as fundações: o risco pode ser invisível, mas as consequências são devastadoras.
O Que É a Due Diligence Digital e Por Que Ela Se Tornou Indispensável
Fusões e aquisições sempre exigiram investigações cuidadosas sobre a saúde financeira, os passivos trabalhistas e as contingências fiscais de uma empresa-alvo. Nos últimos anos, porém, surgiu uma nova camada de risco que muitos processos tradicionais ainda ignoram: o patrimônio digital da companhia, em especial o modo como ela coleta, armazena, trata e compartilha dados pessoais.
A due diligence digital em fusões e aquisições (M&A) consiste no mapeamento sistemático dos ativos e passivos relacionados a dados e tecnologia de uma organização antes que a transação seja concluída. Ela abrange desde a conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) até a existência de incidentes de segurança não divulgados, passando pela avaliação de contratos com fornecedores de tecnologia, políticas internas de governança de dados e o estado real das infraestruturas de TI.
O motivo pelo qual esse tema ganhou urgência é simples: dados pessoais passaram a ser ativos estratégicos. Bases de clientes, históricos de comportamento de usuários, algoritmos proprietários e sistemas de inteligência artificial integram o valor econômico de inúmeras empresas. Ao mesmo tempo, irregularidades nessa área geram passivos concretos, incluindo multas administrativas, ações coletivas, danos reputacionais e, em casos extremos, a invalidação parcial do negócio.
O Marco Regulatório Brasileiro e Seus Reflexos em M&A
A LGPD, em vigor desde setembro de 2020, estabeleceu um conjunto de obrigações para qualquer organização que trate dados pessoais no território nacional ou de indivíduos que se encontrem no Brasil. A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável pela fiscalização, edição de regulamentos e aplicação de sanções.
No contexto de fusões e aquisições, a LGPD apresenta implicações em pelo menos três dimensões:
Transferência de Bases de Dados como Parte do Negócio
Quando uma empresa é adquirida, suas bases de dados pessoais passam ao controle do adquirente. Essa transferência não é automaticamente lícita: ela precisa estar amparada em uma das hipóteses legais previstas na LGPD, como o legítimo interesse do controlador, a execução de contrato ou o consentimento dos titulares, conforme a natureza dos dados e o contexto original da coleta. Ignorar essa exigência significa que o adquirente pode herdar um passivo regulatório desde o primeiro dia de operação conjunta.
Notificação à ANPD em Operações de Concentração
Embora a ANPD ainda esteja consolidando sua atuação regulatória, já há sinalizações de que operações de concentração envolvendo grandes volumes de dados pessoais podem demandar análise específica do órgão, de forma complementar ou articulada com o Conselho Administrativo de Defesa Econômica (CADE). A ausência de atenção a esse ponto pode gerar obrigações retroativas ou condicionamentos à aprovação da operação.
Responsabilidade Solidária por Incidentes Anteriores
Se a empresa-alvo sofreu um incidente de segurança antes da conclusão do negócio e essa informação não foi corretamente divulgada, o adquirente pode ser responsabilizado solidariamente pelos danos causados a titulares de dados, especialmente se o incidente afetar operações que continuem após a aquisição. Por isso, a due diligence deve investigar não apenas o estado atual da segurança da informação, mas também o histórico de eventos e a existência de notificações feitas ou omitidas à ANPD.
A due diligence digital não é um item opcional de checklist: ela é a diferença entre adquirir um ativo e adquirir um passivo disfarçado de ativo.
As Principais Áreas de Investigação na Due Diligence de Dados
Um processo bem estruturado de due diligence digital deve cobrir, no mínimo, as seguintes áreas:
Mapeamento de Dados e Inventário de Tratamentos
O ponto de partida é compreender quais dados a empresa-alvo coleta, com que finalidade, em quais sistemas eles estão armazenados e quem tem acesso a eles. O registro das atividades de tratamento, exigido pela LGPD para a maioria dos controladores, é um documento central nessa investigação. A ausência desse registro já é, por si só, um sinal de alerta sobre o nível de maturidade da organização em proteção de dados.
Avaliação das Bases Legais Utilizadas
Cada operação de tratamento de dados pessoais deve estar fundamentada em uma das hipóteses legais da LGPD. Na prática, muitas empresas utilizam o consentimento de forma inadequada, coletando-o em situações em que outras bases legais seriam mais apropriadas, ou sem garantir que ele seja livre, informado, inequívoco e específico. A due diligence deve verificar se as bases legais adotadas são sustentáveis e se os consentimentos eventualmente coletados podem ser transferidos ao adquirente.
Segurança da Informação e Gestão de Incidentes
A análise técnica da infraestrutura de segurança da informação deve incluir a revisão de políticas de controle de acesso, criptografia, gestão de vulnerabilidades, resposta a incidentes e continuidade de negócios. Também é essencial investigar se houve violações de dados nos últimos anos, como elas foram tratadas internamente e se as notificações devidas foram realizadas.
Contratos com Terceiros e Operadores de Dados
A LGPD impõe que os controladores celebrem contratos específicos com os operadores que tratam dados em seu nome, estabelecendo obrigações claras de confidencialidade, segurança e limitação de uso. A due diligence deve revisar esses instrumentos para identificar lacunas, cláusulas problemáticas ou fornecedores sem os compromissos legalmente exigidos.
Transferências Internacionais de Dados
Se a empresa-alvo transfere dados pessoais para o exterior, é necessário verificar se essa transferência está amparada em mecanismos adequados, como cláusulas contratuais padrão aprovadas pela ANPD, países com nível de proteção reconhecido como adequado ou outras exceções previstas na legislação. Transferências internacionais sem amparo legal configuram infração grave.
Privacidade por Design e Governança Interna
Além dos aspectos formais, a due diligence deve avaliar se a cultura organizacional da empresa-alvo incorpora práticas de privacidade desde a concepção de produtos e processos. A existência de um Encarregado de Dados (DPO) devidamente nomeado, de um programa de treinamento para colaboradores e de políticas internas efetivas são indicadores relevantes de maturidade.
Representações, Garantias e Cláusulas de Proteção no Contrato de M&A
Mesmo que a due diligence revele um cenário relativamente favorável, é essencial que o contrato de fusão ou aquisição contemple cláusulas específicas para riscos relacionados a dados. As representações e garantias (reps and warranties) do vendedor devem abranger declarações sobre a conformidade com a LGPD, a inexistência de incidentes não divulgados e a validade das bases de dados transferidas.
Mecanismos de proteção adicionais incluem retenção de parte do preço (holdback ou escrow) vinculada à confirmação da ausência de passivos regulatórios, cláusulas de indenização específica para reclamações de titulares de dados ou autuações da ANPD, e o direito do adquirente de realizar auditorias pós-fechamento. Em transações de maior porte, é cada vez mais comum a contratação de seguros de representações e garantias (W&I insurance) que cubram, entre outros riscos, as contingências de proteção de dados.
A negociação dessas cláusulas exige que o advogado responsável pela transação tenha domínio tanto do direito empresarial aplicável às operações de M&A quanto das especificidades da LGPD e da regulação setorial pertinente. A interface entre essas áreas é um dos campos mais exigentes da advocacia empresarial contemporânea.
A due diligence digital é obrigatória em todas as operações de M&A?
Não existe uma norma que imponha formalmente a due diligence digital como etapa obrigatória em toda operação de fusão ou aquisição. No entanto, sua realização é amplamente recomendada como prática de gestão de riscos, especialmente quando a empresa-alvo trata dados pessoais em volume significativo, opera em setores regulados ou possui ativos digitais relevantes. A omissão desse processo pode resultar na absorção de passivos regulatórios, financeiros e reputacionais pelo adquirente, sem que ele tenha tido a oportunidade de avaliar adequadamente esses riscos antes de concluir o negócio.
O que acontece se a empresa adquirida tiver incidentes de dados não divulgados?
Se a empresa-alvo sofreu incidentes de segurança que não foram devidamente notificados à ANPD ou aos titulares afetados, o adquirente pode ser responsabilizado pelos danos decorrentes caso assuma o controle das operações sem tomar providências. A responsabilidade depende de fatores como o momento do incidente, a continuidade das operações afetadas e os termos do contrato de aquisição. Por isso, cláusulas de representações e garantias com indenização específica para passivos de proteção de dados são instrumentos essenciais na negociação do negócio.
Como a ANPD se posiciona diante de operações de concentração envolvendo dados pessoais?
A ANPD tem desenvolvido sua atuação regulatória de forma progressiva e, em operações que envolvam transferência massiva de dados pessoais ou concentração de poder informacional, pode vir a exercer papel complementar ao do CADE na análise da operação. Embora ainda não exista um procedimento formal consolidado de notificação prévia à ANPD para fusões e aquisições em geral, a tendência é de maior articulação entre os dois órgãos, especialmente em setores como saúde, finanças e tecnologia, onde os dados pessoais são ativos centrais do modelo de negócio.
Quais documentos são essenciais para a due diligence de proteção de dados?
Os documentos mais relevantes incluem: o registro de atividades de tratamento de dados pessoais, as políticas de privacidade e segurança da informação adotadas internamente, os contratos com operadores de dados e fornecedores de tecnologia, os relatórios de impacto à proteção de dados (RIPDs) elaborados para operações de maior risco, o histórico de incidentes e as comunicações feitas à ANPD, e os registros de consentimento dos titulares quando esse for a base legal utilizada. A completude e a qualidade desses documentos são indicadores diretos do nível de maturidade da empresa em proteção de dados.
As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.