La Ley General de Protección de Datos (LGPD) de Brasil ha obligado a las empresas a revisar sus procesos. Hoy en día, las discusiones se enfocan en el cumplimiento de la ley y las sanciones por incumplimiento, pero un tema al que pocos han prestado atención son las consecuencias que genera para el cierre de fusiones o adquisiciones de empresas.
Para los especialistas, la identificación de los riesgos potenciales que involucran a la LGPD es fundamental. La debida diligencia que antecede a este tipo de transacciones al momento de recabar y auditar información técnica, contable, tributaria, financiera y legal de la empresa objetivo debe incluir, en el aspecto legal, una adecuación a la LGPD. Esto se debe a que el propósito de la debida diligencia es determinar los riesgos de la actividad empresarial que desarrolla la empresa objetivo.
Te recomendamos leer: El problema con las leyes de privacidad de datos en América Latina
De acuerdo con los especialistas entrevistados, esto empieza con la identificación de cómo se encuentra la empresa en la materia: si la empresa, por ejemplo, ya ha pasado por algún tipo de incidente de seguridad es importante saber cómo lo controló, cuándo sucedió, cuáles son sus debilidades y si tiene un marco, en funcionamiento, para proteger los datos personales.
Iara Peixoto Melo, coordinadora del área de protección de datos y privacidad de Chenut Oliveira Santiago Advogados, comenta que las ya habituales debidas diligencias que preceden a un proceso de M&A ahora tienen un capítulo dedicado exclusivamente al análisis de las prácticas de tratamiento de datos personales y también al cumplimiento de la LGPD de la empresa objetivo.
"Es sumamente importante que este análisis se lleve a cabo y que los puntos de incumplimiento se identifiquen antes de cualquier transacción. Luego de la entrada en vigencia de la LGPD ha habido casos en los que la actividad principal de la compañía es cuestionada. Esto ocurre con empresas cuyo tratamiento de datos personales se realiza sin respetar los principios de la LGPD”, dice la experta.
Para Suzana Castelnau, socia de Donelli e Abreu Sodré Advogados (DSA), en la debida diligencia existe un intercambio de documentos e información relevante entre las partes. Así, el comprador que recibirá la información debe cumplir con la legislación para el tratamiento de datos, teniendo también interés en que la empresa objetivo igualmente cumpla para que esta no caiga en un procedimiento de responsabilidad por su adquisición.
No te pierdas: Cinco recomendaciones para la protección de datos personales
"El incumplimiento de la LGPD podría generar una indemnización de una parte a la otra, ya que la responsabilidad es tanto de la sociedad que comparte los datos como de quién los recibe, razón por la cual su seguridad debe de estar garantizada", analiza.
Este es un punto a considerar en las transacciones y refuerza la necesidad de que las empresas se adapten a la LGPD, explica Caroline Leite Barreto Dinucci, abogada de Barreto Dinucci Advocacia, y agrega que "no hay duda de que la Autoridad Nacional de Protección de Datos de Brasil (ANPD por sus siglas en portugués) revisará con más detenimiento estas transacciones, ya que han ido creciendo en los últimos meses y, en consecuencia, también tendrán un papel más fuerte".
Comprador y vendedor: ¿qué hacer?
Los especialistas explican que el comprador debe pedir al vendedor que demuestre que han puesto en conocimiento de los interesados un aviso de que su información puede ser compartida en caso de negociación de la empresa objetivo. Como regla general, esta disposición se incluye en las políticas de privacidad de datos.
También es necesario incluir en la debida diligencia un capítulo específico sobre temas de auditoría relacionados con la protección de datos y verificar que la empresa objeto de la operación cumple con la LGPD. Entre los principales focos están la existencia de políticas de privacidad de datos, políticas de seguridad de datos definidas y divulgadas y si los empleados están capacitados y hay capacitación de actualización.
Además, es necesario analizar si los contratos celebrados por la empresa objetivo con sus clientes, proveedores, empleados y terceros en general cumplen con la ley y sus políticas internas, verificando las responsabilidades y sanciones involucradas.
Te podría interesar: Sanción a Cencosud por filtración de datos personales y otras novedades argentinas
Otro punto es si existen demandas contra la empresa a adquirir o si hay riesgos de demandas y riesgos involucrados. También se tiene que poner atención respecto de si existen informes de auditoría, para evaluar la seguridad y la posibilidad de rastrear y/o eliminar los datos procesados. Finalmente, es importante incluir en el contrato a suscribir entre las partes garantías en materia de protección de datos y, en su caso, indemnizaciones relativas a tales cuestiones.
El vendedor, por su parte, debe verificar que los titulares de los datos sepan que su información podría ser compartida en caso de negociación de la empresa. En caso de que esto no se haya realizado, es necesario hacer las gestiones pertinentes para poder compartir los datos con el comprador.
“El vendedor debe estar preparado para la auditoría del comprador, especialmente si la actividad que realiza la empresa objetivo implica específicamente el tratamiento de datos personales, por ejemplo, si se trata de una aplicación sanitaria, transporte, e-commerce, etc. En el caso de tener demandas en curso, debe contar con certificados o informes actualizados para su presentación. Debe evaluar de antemano los riesgos que implican para poder negociar las reclamaciones de garantías e indemnizaciones propuestas por el comprador”, afirma Maria Cibele Crepaldi Affonso dos Santos, socia directora de Costa Tavares Paes Advogados.
Para los expertos es más probable que las operaciones a gran escala entren en el radar de las autoridades. Por tanto, considerar la normativa sectorial y comprobar si las políticas de protección de datos ya existen en la empresa objetivo son buenos puntos de partida. Cabe recordar que la fusión de compañías suele ir acompañada de una fusión de base de datos, que requiere evaluar las bases legales para el procesamiento de datos.
Lee también: Desafío legislativo, protección de datos y ciberseguridad
“La unificación de empresas es una estrategia que puede impulsar el crecimiento de las organizaciones, pero la LGPD rompió paradigmas que requieren una reevaluación de buenas prácticas”, evalúa Caroline Dinucci, socia en Barreto Dinucci Advocacia.
En los casos de incumplimiento de la LGPD, el emprendedor se enfrentará a un escenario que incluye sanciones que van desde advertencias hasta multas que alcanzan el 2% de los ingresos, limitados a $50 millones de reales por infracción (9 millones de dólares al 29 de septiembre), así como suspensión parcial del funcionamiento de la base de datos o la prohibición definitiva de actividades relacionadas con el tratamiento de datos personales.
“Nadie compra una empresa o se fusiona con otra para comprometer su propia reputación y ponerse en una situación menos favorable con el público consumidor. En un contexto de transformación digital, los datos adquieren especial importancia. Así, incluso ahora, es necesario garantizar la protección de los datos y la privacidad, especialmente en el escenario actual establecido por la LGPD”, concluye la experta.
}
Add new comment