Atualmente, estamos vendo que o Regulamento Geral de Proteção de Dados (GDPR) da UE se tornou um fator importante em transações de fusões e aquisições (M&A), adicionando complexidade ao processo de devida diligência e, às vezes, até causando problemas nos negócios.
Os regulamentos GDPR entraram em vigor em maio de 2018 e exigiram que as empresas fortalecessem suas políticas e processos de proteção de dados. Isso levou à possibilidade de multas muito altas de até 4% do faturamento global anual ou € 20 milhões – o que for maior – foram introduzidas para organizações que infringem seus requisitos. Embora a maioria das empresas, após 8 meses desse novo regime, agora entenda os requisitos do GDPR em relação à operação de seus próprios negócios, as implicações mais complexas dessas leis de privacidade ainda estão se desenrolando.
O mercado de fusões e aquisições (M&A) é um setor em que grande parte dessa complexidade adicional está ocorrendo. Em resumo, as obrigações do GDPR se aplicam a todas as organizações que coletam ou usam dados pessoais (ou seja, dados de “pessoas físicas”). A maioria das empresas-alvo, em virtude de lidar com informações sobre fornecedores, clientes ou funcionários, se enquadraria nessa categoria e, portanto, desencadearia uma possível exposição ao GDPR para a parte adquirente. As pesadas multas por violações do GDPR exigem que essas responsabilidades sejam encaradas com seriedade.
A segurança dos dados tornou-se, portanto, rapidamente uma das principais prioridades do processo de due diligence e as sugestões são de que o impacto do GDPR na due diligence de fusões e aquisições causará, nos próximos cinco anos, um escrutínio ainda maior das políticas e processos de proteção de dados das empresas-alvo por potenciais adquirentes.
Uma pesquisa com mais de 500 profissionais de fusões e aquisições na Europa, Oriente Médio e África (EMEA) pela Euromoney mostra que 55% dos entrevistados trabalharam em transações de fusões e aquisições que não progrediram devido a preocupações com a proteção de dados de uma empresa-alvo e conformidade com o GDPR. A participação foi significativamente maior na Alemanha (mais de 70%), nos países nórdicos (mais de 65%) e no Reino Unido (mais de 60%).
Uma dificuldade comum no processo de due diligence é que as empresas acreditam que estão em conformidade com o GDPR quando não estão.
Em vez de cancelar um acordo devido a preocupações relacionadas ao GDPR, muitas empresas decidem investir nos padrões de segurança de dados da empresa-alvo. As somas podem variar de £ 1 a £ 4 milhões, dependendo do tamanho da empresa-alvo e o preço da oferta pode ser ajustado de acordo. Uma dificuldade comum no processo de due diligence é que as empresas acreditam que estão em conformidade com o GDPR quando não estão, principalmente em relação a contratos subjacentes e relacionamentos com clientes.
Políticas corporativas de privacidade robustas são um elemento essencial para garantir transações tranquilas de fusões e aquisições (M&A) e a ausência ou falta de substância em tais políticas pode ser um fator crítico no processo de negociação. As implicações vão desde a avaliação de uma empresa-alvo e a estratégia de aquisição do adquirente até a devida diligência e o processo de integração pós-aquisição. Um contrato de fusões e aquisições (M&A) bem elaborado abordará essas questões de privacidade com representações e garantias abrangentes que se aplicam ao longo do processo de devida diligência e se estendem à integração de dados após o fechamento da transação. As responsabilidades do GDPR serão identificadas em relação a cada pessoa que processa ou manuseia dados pessoais: como funções diferentes têm obrigações legais diferentes, é vital que isso seja totalmente compreendido.
Durante o processo de due diligence, o fornecedor tem a oportunidade de divulgar até que ponto a empresa está em conformidade com o GDPR, incluindo detalhes de qualquer violação de dados conhecida. A propósito, muitas empresas terão obrigações adicionais sob contratos comerciais de terceiros em relação a informações confidenciais e é crucial que essas responsabilidades não sejam “encobertas” na pressa de garantir a conformidade com o GDPR, caso contrário, o fornecedor pode estar se abrindo para violações. de alegações contratuais. A divulgação completa será solicitada pelos representantes do adquirente e quaisquer questões de privacidade poderão ser examinadas na íntegra e submetidas a uma avaliação completa.
Embora complexo e demorado, o processo de due diligence é obviamente essencial em qualquer transação de fusões e aquisições (M&A). O impacto total de todas as coisas relacionadas ao GDPR deve ser entendido como parte desse processo para evitar surpresas negativas posteriormente. Sem o reconhecimento apropriado dos riscos e medidas de proteção suficientes sendo implementadas, os problemas de violação de dados podem se tornar aparentes somente após a conclusão de um negócio, resultando em exposição longa e cara e consequente litígio.
Assumimos um compromisso de longo prazo com nossos clientes. Consultoria estratégica em finanças corporativas sob medida para o seu negócio – nosso trabalho é o seu sucesso. Acesse o mercado de capitais e encontre investidores para seu M&A.
Como a Mutual Capital pode auxiliar a sua empresa?
Nossos consultores e especialistas em operações estruturadas possuem formação multidisciplinar, que podem assessorar a sua empresa em todas as fases de um processo fusões e aquisições (M&A).
