“Due diligence” (diligência devida) é um procedimento que envolve uma investigação antes da realização de uma negociação comercial. Essa prática, muito comum nos processos de fusões e aquisições, tem por objetivo analisar a situação financeira, jurídica e operacional da organização que será adquirida, permitindo identificar riscos na relação.
No aspecto digital, esta atividade também visa qualificar a maturidade do ambiente tecnológico da organização, identificar eventuais ativos que podem impactar a negociação, e verificar a conformidade da empresa aos regulamentos aplicáveis ao ambiente digital.
Na prática, isso pode ser atingido por meio da verificação sobre a adequação dos mecanismos de tecnologia e segurança da informação aos padrões ISO; a análise sobre os ativos digitais que a entidade possui, bem como suas respectivas licenças de uso e/ou propriedades intelectuais; existência de políticas internas que versam sobre o ambiente tecnológico; entre outros meios de investigação.
Além disso, uma auditoria para verificar a conformidade da empresa às obrigações legais e regulatórias voltadas ao meio digital também é crucial para garantir que o processo de due diligence seja eficaz e assertivo.
A adequação à Lei Geral de Proteção de Dados (“LGPD”), ao Marco Civil da Internet (“MCI”) e aos regulamentos esparsos da Autoridade Nacional de Proteção de Dados (“ANPD”) são pontos importantes que devem ser analisados pela empresa adquirente, para garantir que a organização não assuma riscos diante da não adequação da empresa adquirida aos dispositivos legais.
Durante tal avaliação, a auditoria deverá analisar quanto a existência de registro de tratamento de dados pessoais, a nomeação de um encarregado de proteção de dados (também chamado de “DPO – Data Protection Officer”), a realização de relatórios de impacto à Proteção de Dados Pessoais, a adequação contratual às práticas de privacidade e confidencialidade, e outros pontos definidos pela legislação de proteção de dados.
Com relação aos padrões ISO de tecnologia e segurança da informação, embora tais preceitos não sejam legalmente obrigatórios, eles demonstram a maturidade dos sistemas e procedimentos no ambiente digital, que além de ser uma medida de melhores práticas, servem como meio comprobatório em pareceres que indiquem baixo risco no meio tecnológico da empresa adquirida.
Por fim, é crucial analisar se a entidade já foi alvo de notificação, investigação, ou sanção de órgãos fiscalizatórios como o Procon ou a própria ANPD diante do descumprimento de obrigações legais envolvendo o tratamento de dados pessoais de clientes, colaboradores, ou do público em geral, além de verificar a existência de processos judiciais nessa esfera.
Para garantir que o processo de due diligence seja realizado adequadamente no meio digital, recomenda-se pela atuação de consultorias especializadas em auditorias tecnológicas e obrigações legais aplicáveis ao negócio, mitigando riscos diante da fusão ou aquisição da organização que não está adequada às melhores práticas no meio digital, de privacidade e proteção de dados.
Por Luis Felipe Tolezani
Advogado de Direito Digital e Encarregado de Dados Pessoais
