Análise – Proteção de Dados e M&A
Em operações de M&A, o compartilhamento de dados pessoais na due diligence não deve se apoiar no consentimento – operacionalmente inviável e revogável a qualquer tempo –, mas no legítimo interesse (art. 7º, IX, da LGPD). Dados sensíveis exigem base própria; no Virtual Data Room, o comprador assume posição de controlador e responde solidariamente por incidentes (art. 42, §1º, II); e a mitigação passa por anonimização, clean teams e prazos de retenção definidos. Ignorar esse regime é assumir um passivo sem o devido desconto no preço.
Baixar a análise completa em PDF
Por que o consentimento não funciona em M&A
O tratamento de dados em M&A não gravita em torno do consentimento (art. 7º, I). Em operações massivas, a inviabilidade de rastrear revogações compromete a estabilidade do negócio, e a notificação prévia a milhares de titulares é incompatível com o sigilo da transação. Insistir no consentimento como base absoluta é fragilizar a operação desde a largada.
As bases legais estratégicas
A base precípua da due diligence é o legítimo interesse (art. 7º, IX), fundado no apoio às atividades do controlador – a venda do ativo – e na necessidade de o comprador validar seu investimento. Somam-se a execução de contrato e procedimentos preliminares (art. 7º, V), aplicável à sucessão empresarial em que o adquirente assume a posição contratual, e o exercício regular de direitos (art. 7º, VI), que justifica reter dados para defesa em disputas futuras decorrentes da transação.
Dados sensíveis: atenção redobrada
O legítimo interesse não se aplica a dados sensíveis (art. 11), recorrentes em auditorias de empresas de saúde ou de seguros. Nesses casos, o enquadramento deve recair obrigatoriamente sobre o exercício regular de direitos ou a prevenção à fraude, com medidas de segurança e governança ainda mais robustas.
Casos de mercado: Twitter/Musk e Petz/Zee.Dog
Na tentativa de aquisição da Twitter por Elon Musk, a própria companhia reconheceu ter fornecido um volume de dados além do estritamente necessário – violação direta ao princípio da necessidade (art. 6º, III). O acesso irrestrito a dados granulares, numa operação eventualmente frustrada, vira passivo de privacidade e risco reputacional. Já na aquisição da Zee.Dog pela Petz, a atuação da consultoria como operadora evidenciou que a segregação de funções em contrato é a salvaguarda eficaz contra a responsabilidade solidária de assessores.
Controladoria conjunta e responsabilidade solidária
No Virtual Data Room, o comprador não é um mero convidado: ele decide a finalidade (validar o preço) e os meios (quais dados analisar) do tratamento. Ao fazê-lo, assume a controladoria conjunta e atrai a incidência do art. 42, §1º, II, da LGPD – respondendo solidariamente por qualquer vazamento ou incidente no VDR, independentemente de o negócio se concretizar ou frustrar. A liberdade de se informar traz o ônus da responsabilidade sobre a base compartilhada.
Mitigação: anonimização e clean teams
A anonimização deve ser a regra para dados de clientes e empregados que não ocupem cargos-chave – o comprador não precisa da identidade do consumidor para auditar churn ou faturamento. Para dados sensíveis ou competitivamente sensíveis, os clean teams (comitês independentes que entregam apenas relatórios agregados aos tomadores de decisão) cumprem o dever de informar sem violar a privacidade individual nem o segredo de negócio.
Ciclo de vida do dado: retenção e eliminação
Concluída a operação, a retenção dos documentos da auditoria é legítima para defesa em disputas contratuais, alinhada à prescrição decenal das pretensões contratuais reconhecida pelo STJ. Frustrada a operação, recomenda-se a eliminação imediata, salvo uma cópia em cold storage limitada ao prazo de reparação civil (três anos), para defesa contra alegações de responsabilidade pré-contratual. O NDA deve prever expressamente o protocolo de destruição ou devolução.
Recomendações práticas
Trate lacunas de LGPD na target como redutor de preço ou gatilho de retenção em escrow; implemente privacy by design no VDR, com acessos granulares e dados identificáveis liberados apenas no signing; inclua representations & warranties específicas sobre a inexistência de incidentes; e defina nos NDAs quem é controlador e quem é operador em cada fase. A conformidade com a LGPD é o caveat emptor da era digital – quem ignora o regime de responsabilidade solidária assume um passivo sem desconto no preço.
