“Teremos uma lei e uma agência reguladora para o controle de dados pessoais, mas nada disso adianta sem educar o mercado”

Projeto de Lei que protege dados pessoais deve obrigar empresas a atender novas regras para se manter valorizadas, diz especialista

Por Gabriela Freire Valente - redação@lexisnexis.com.br
Shutterstock.com

Celebrada como um passo importante para a proteção de dados e defesa da privacidade, a aprovação do Projeto de Lei da Câmara nº 53/2018 no Senado Federal deve resultar em mudanças significativas nas políticas de compliance. O texto aguarda sanção presidencial e determina regras para a coleta e uso de informações pessoais, além de prever a imposição de multas para quem descumprir as diretrizes e a criação de uma agência reguladora. Apesar de o texto ser inspirado na regulação geral de proteção de dados (General Data Protection Regulation, ou GDPR) europeia, que entrou em vigor neste ano, a nova legislação brasileira tem desafios próprios de implementação e deve ter reflexos imediato para operações de M&A. Para Patricia Peck, sócia-fundadora do Peck Advogados e uma das maiores especialistas em direito digital do país, as regras impactam a condução dos negócios e a precificação de ativos. Confira abaixo os principais trechos dessa entrevista exclusiva para o Lexis 360.

 

Que impactos a GDPR causou no mercado de M&A que também podem ser esperados com a nova legislação no Brasil?

Patrícia Peck: As duas leis tratam sobre um ativo intangível e extremamente valioso: o patrimônio de base de dados. Tanto uma empresa que trabalha com inteligência artificial ou um negócio tradicional que necessita de informações sobre seus clientes são detentores desses ativos. Com uma legislação mais rigorosa, com restrições, há um impacto na precificação desses dados (valuation). Se houver uma restrição no uso das informações ou se você não estiver de acordo com as regras, haverá reflexos no valor. É quase como uma intervenção do Estado no modelo econômico das empresas. As digitais se baseiam no uso de dados. Com uma nova regra que estabelece limites no manejo de informações, o modelo terá de se reinventar.

Quanto o mercado brasileiro precisa amadurecer nessa frente?

Patrícia Peck: Consideramos três níveis de evolução na compliance de dados. A primeira etapa é ter uma lei ou uma regra. Em seguida, é preciso educar o mercado. Por fim, é necessário criar mecanismos de fiscalização. Nós estamos prestes a ter a lei e há a previsão de se criar uma agência, mas nada disso adianta sem educar o mercado.

A discussão sobre proteção de dados no legislativo brasileiro durou cerca de oito anos. Em que medida a entrada em vigor da regra europeia afetou a tramitação do projeto na Câmara?

Patrícia Peck: A GDPR criou um efeito dominó no mundo. A regulação conta com uma premissa baseada no alinhamento de governança com a Declaração Universal dos Direitos Humanos para garantir a privacidade. Isso valoriza empresas com modelos de gestão tecnológica que implementam essas premissas. Se na due diligence constar que a empresa não cumpre as diretrizes da GDPR, a leitura feita por investidores é que a empresa não segue essa governança de direitos humanos. Isso tem um impacto direto em reputação e atratividade de investimentos, levando  companhias a divulgar statements e mudar políticas de governança. A mesma interpretação sobre os direitos humanos pode ser feita com países que não têm o mesmo nível de rigor com a proteção de dados.

Qual é o risco que o descumprimento da regulação pode trazer para uma operação de M&A?

Patrícia Peck: O primeiro risco é que o comprador atrai para si a responsabilidade por passivos de compliance. A própria legislação da GDPR traz uma característica de solidariedade. Ela tem o entendimento de que quem adquire o patrimônio de base de dados também assume as responsabilidades. A lei brasileira tem a previsão de aplicação de multas que serão calculadas  com base no faturamento do grupo econômico. A penalidade não fica restrita a uma operação isolada. Então, você potencializa a punição.

A nova lei melhorará a transparência das empresas em casos de vazamentos de dados pessoais?

Patrícia Peck: A lei brasileira prevê o dever de reportar vazamentos. Quando temos operações que envolvem companhias abertas, reportar um vazamento em si pode gerar um impacto maior do que o próprio vazamento. Em uma operação de M&A, costuma-se fazer um estudo de impacto para imaginar a criação de um sistema de isolamento para que isso não repercuta na empresa mãe ou em toda a cadeia societária.

Os processos de due diligence sofrerão mudanças significativas?

Patrícia Peck: Há um período de adaptação em que os checklists de due diligence tendem a ficar mais rigorosos. Os níveis de riscos passam a ser maiores até que uma cultura de proteção de dados seja difundida. No Brasil, ferramentas de criptografia não fazem parte da rotina de pequenas e médias empresas. Aqui, nós nos acostumamos a uma cultura muito forte de uso de recursos mobile e esses recursos não levam essas medidas de proteção na ponta do usuário. A prática aqui ficou de puxadinho digital e de uma reprodução maciça de bancos de dados. É preciso haver uma remodelação dessas práticas.

A troca de informações corporativas também deve ser afetada pela nova lei?

Patrícia Peck: A regra fala em dados pessoais. A relação de uma empresa com pessoas acontece com o quadro de funcionários, com o cliente e com os seus acionistas. Existem documentos empresariais com informações relacionadas a funcionários, representantes legais e acionistas. O tratamento desses documentos deve seguir as exigências da lei. Um exemplo é quando levamos contratos para uma junta comercial ou documentos para a Comissão de Valores Mobiliários (CVM). Esses documentos costumam incluir informações sobre o representante da empresa, endereço, se é casado ou solteiro. Se houver negligência no cuidado com esses dados, já há aplicação de multas. Certamente haverá uma mudança de paradigmas, pois teremos itens de controle e parâmetros.

Há um prazo de 18 meses de adaptação à lei e o processo de criação da agência reguladora levará tempo. Como o enforcement das novas regras será feito nesse intevalo?

Patrícia Peck: O nosso contexto é muito mais complexo do que qualquer país isolado da Europa e temos um desafio muito maior. Na Europa, a noção foi de uniformização da lei e 28 autoridades de fiscalização foram criadas para cada um dos países, com o princípio de balcão único. Aqui, temos um país imenso com uma única lei e uma única agência. Podemos ter algumas discussões de hierarquia. Nosso sistema de juizados de pequenas causas, por exemplo, é quase municipalizado. Caberá a quem autuar em cima dessa lei até que a autoridade fique pronta? A gente ainda não tem como saber como vai funcionar o órgão de controle e é preciso ser hábil para equacionar a participação desses diversos atores nacionais no conselho da agência.

Que tipos de regulamentação deverão surgir após a lei ser sancionada?

Patrícia Peck: A GDPR tem modelos de cláusulas que a proposta brasileira não tem. Devemos ter uma discussão sobre esses modelos, sobre situações de exceções de consentimento e sobre proporcionalidade das multas. Nós temos um sistema de combate à fraude peculiar no Brasil, com bases de dados e outras informações para proteção do crédito. Esses casos precisam ser estudados.

Acesso restrito. Faça seu login .

Este conteúdo é exclusivo para assinantes Lexis 360

Cadastre-se gratuitamente e tenha acesso ao Lexis 360

Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.