O termo em inglês Due Diligence (diligência prévia, em português), define o procedimento de estudo e investigação de diferentes fatores de uma empresa com o objetivo de analisar possíveis riscos para o público interessado.
Considerando o cenário legal como fator decisivo para o fechamento de novos negócios, a Due Diligence em proteção de dados deve ser aplicada para as empresas que pretendem realizar contratações, aquisições ou firmar negócios com terceiros.
Entre as principais razões para a realização da Due Diligence na sua empresa, podemos colocar três motivos em destaque:
1. Obtenção de uma melhor compreensão sobre o negócio a ser adquirido ou combinado;
2. Diminuição dos riscos atrelados à contratação de fornecedores;
3. Realização de uma avaliação dos riscos de operação do próprio negócio;
Desse modo, a realização de uma investigação focada nos procedimentos relacionados à proteção de dados pessoais permite uma visualização ampla sobre o tratamento de dados realizado e, consequentemente, a mensuração e mitigação dos riscos para a empresa.
Confira, a seguir, as principais ocasiões que a Due Diligence em proteção de dados pessoais é necessária.
Em quais ocasiões a sua empresa deve executar processos de Due Diligence em proteção de dados?
1. Para a homologação de novos fornecedores
A Lei Geral de Proteção de Dados (LGPD) determina que o controlador de dados pessoais responde perante os titulares pelos danos e infrações a eles causados. Por isso, firmar parcerias ou contratar novos fornecedores que não estejam em conformidade com a lei pode acarretar o risco de uma responsabilização compartilhada nos casos que envolverem o compartilhamento e violação de dados pessoais.
Assim, possuir documentos internos que comprovem a adoção de procedimentos relacionados à proteção de dados, pode proporcionar mais agilidade e segurança para essa atividade rotineira no mundo corporativo.
2. Para operações de Fusão e Aquisição (M&A)
Essa é uma das principais ocasiões na qual ocorre a necessidade de uma auditoria, visto que durante a etapa de negociação todos os aspectos da empresa são considerados para as tomadas de decisões e definição dos valores negociados. Não seria diferente com a proteção de dados pessoais. Em um período onde a coleta e/ou compartilhamento de dados são utilizados como modelo de negócio, disponibilizar informações claras e precisas acerca do tratamento de dados pessoais realizado é um fator decisivo.
3. Para captação de recursos financeiros
Nesse caso, a Due Diligence em proteção de dados atua na investigação de processos internos e comprovação de que a empresa está seguindo as diretrizes definidas pela LGPD, visando utilizar os procedimentos preventivos relativos à privacidade e proteção de dados pessoais como um diferencial para a captação de investimentos. Após a investigação, caso a empresa apresente falhas de segurança relacionadas à proteção de dados pessoais, são apresentados os melhores caminhos para a adequação.
Quais as etapas da Due Diligence de proteção de dados?
1. Mapeamento
2. Investigação
3. Revisão de todas as políticas internas da empresa
4. Análise sobre incidentes de segurança anteriores
A investigação dos documentos, banco de dados e processos fornece aos possíveis fornecedores ou investidores uma ideia completa sobre a conformidade da sua empresa com os critérios legais de proteção de dados.
Enquanto processos tradicionais de Due Diligence costumam estudar demonstrações financeiras, contábeis, trabalhistas, ambientais, de contingências jurídicas e societárias, quando se trata empresas que têm a coleta e o tratamento de dados como parte integrante de seu modelo de negócios, surge a Due Diligence focado especificamente na Proteção de Dados.
Importante notar que este Due Diligence, assim como muitas das práticas de Compliance, vê nas leis (GDPR e LGPD, por exemplo) a base mínima de proteção. O mínimo que um investidor, cliente, fornecedor ou parceiro de negócios espera da empresa é a sua adequação à lei, sendo sempre positivas medidas de proteção que vão além do exigido na legislação.
Algumas empresas optam por realizar esse processo por conta própria, entretanto essa iniciativa não é vista com bons olhos para o mercado, o que pode invalidar todo o trabalho executado. A contratação de uma Assessoria Jurídica para a investigação dos critérios legais seguidos pela organização, assegurando a imparcialidade nos resultados, é o mais indicado.
Além disso, a investigação e coleta de informações internas possibilitam que se antecipem problemas internos e externos – permitindo que sejam executadas soluções prévias.
