← Blog/Conformidade

Exposição ao RGPD em aquisições transfronteiriças

Janeiro 2026·7 min read·JuristVault Research

Por que a responsabilidade RGPD pós-encerramento é o risco mais subestimado nas operações de M&A europeias — e as 5 cláusulas ausentes na maioria dos SPAs.

Por que a responsabilidade RGPD é o risco M&A mais subestimado

Quando os profissionais de M&A avaliam o risco de uma operação, geralmente focam em contingências financeiras, operacionais e jurídicas. A conformidade com o RGPD costuma ser um exercício de marcar caixas nas fases finais da due diligence.

Este é um erro estrutural com consequências financeiras cada vez mais graves. Ao abrigo do RGPD, as coimas podem atingir 20 M€ ou 4% do volume de negócios anual global. Após uma aquisição, o adquirente hereda integralmente a responsabilidade RGPD da empresa-alvo.

O Comité Europeu para a Proteção de Dados deixou claro que uma mudança de controlo não afeta a responsabilidade contínua de um responsável pelo tratamento. Se a empresa-alvo tratava dados pessoais ilegalmente antes do encerramento, o adquirente torna-se responsável desse tratamento no primeiro dia.

O que acontece com os dados após o encerramento

O encerramento desencadeia uma série de eventos relacionados com dados que a maioria dos enquadramentos SPA não foi concebida para gerir:

→ Transferência do estatuto de responsável pelo tratamento. O adquirente torna-se o responsável pelo tratamento de todos os dados pessoais detidos pela empresa-alvo. Se os avisos de privacidade não contemplavam uma mudança de controlo, o tratamento contínuo pode carecer de uma base jurídica válida.

→ Acionadores de transferência transfronteiriça. Em aquisições transfronteiriças, dados legalmente detidos numa jurisdição podem tornar-se acessíveis a entidades noutras. Sem salvaguardas adequadas (CCE, BCR ou decisões de adequação), isso constitui uma transferência ilícita.

→ Herança de contratos de subcontratante. Os acordos de tratamento da empresa-alvo com subcontratantes de terceiros são herdados pelo adquirente. Se não satisfizerem os requisitos do artigo 28.º, o adquirente está imediatamente em incumprimento.

As 5 cláusulas RGPD ausentes na maioria dos SPAs

01

Garantia do registo de atividades de tratamento

A maioria dos SPAs garante que a empresa-alvo «cumpre a legislação aplicável em matéria de proteção de dados» — uma garantia tão ampla que é praticamente inaplicável. Um SPA corretamente redigido deve incluir uma garantia específica de que a empresa mantém um RAT (Registo das Atividades de Tratamento) preciso ao abrigo do artigo 30.º, com uma declaração de que estava atualizado à data da assinatura.

02

Declaração sobre a base jurídica do tratamento

A empresa-alvo deve declarar, para cada categoria de dados pessoais tratados, a base jurídica específica ao abrigo do artigo 6.º (e do artigo 9.º para categorias especiais). Sem esta declaração, o adquirente não pode avaliar se o tratamento contínuo pós-encerramento é lícito.

03

Historial de notificações de violações de dados

O RGPD exige a notificação de violações no prazo de 72 horas. As empresas-alvo têm frequentemente incidentes não notificados classificados internamente como não notificáveis. Uma indemnização específica que cubra as falhas de notificação pré-encerramento é essencial.

04

Indemnização pela conformidade com os direitos dos titulares

As empresas-alvo com grandes conjuntos de dados de consumidores têm frequentemente pendentes pedidos de acesso, apagamento e portabilidade não cumpridos no prazo legal. Cada pedido não cumprido é uma infração separada. Uma indemnização que cubra o incumprimento pré-encerramento deve ser padrão.

05

Certificação do mecanismo de transferência transfronteiriça

Se a empresa-alvo transferir dados pessoais para países terceiros, o SPA deve incluir uma declaração de que existem mecanismos de transferência válidos e uma indemnização que cubra as CCE invalidadas pelo Schrems II ou decisões subsequentes.

Exposição real: empresas multadas após aquisição

O historial regulatório é claro: as autoridades de supervisão não concedem períodos de graça pós-aquisição.

Marriott / Starwood

Coima de 99 M£ da ICO por uma violação ocorrida antes da aquisição e herdada pós-encerramento. A Marriott não realizou uma due diligence RGPD adequada antes de adquirir a Starwood.

British Airways

Coima de 20 M£ por uma violação que envolveu sistemas e práticas anteriores à data de aplicação do RGPD — demonstrando que os reguladores avaliam as práticas de forma holística.

Falhas de notificação pós-encerramento

Várias ações em França, Alemanha e nos Países Baixos visaram adquirentes que não emitiram novos avisos de privacidade aos titulares após uma mudança de controlo.

Checklist de due diligence para conformidade com o RGPD

Uma checklist mínima de due diligence RGPD para aquisições transfronteiriças que envolvam dados pessoais europeus:

1
Solicitar e rever o RAT (Registo das Atividades de Tratamento) da empresa-alvo
2
Mapear todas as categorias de dados pessoais e confirmar a base jurídica de cada uma
3
Rever todos os acordos de tratamento de dados com subcontratantes de terceiros
4
Confirmar os mecanismos de transferência transfronteiriça e o estado de remediação pós-Schrems II
5
Rever o registo de violações e toda a correspondência com a autoridade de supervisão dos últimos 3 anos
6
Confirmar o acumulado de pedidos de titulares e os pedidos pendentes não cumpridos
7
Rever os avisos de privacidade relativamente às obrigações de divulgação em caso de mudança de controlo
8
Obter uma indemnização RGPD específica pelo incumprimento pré-encerramento
9
Incluir condição de encerramento RGPD: entrega de DPAs atualizados na data de encerramento
10
Planear a notificação pós-encerramento aos titulares no prazo de 30 dias

Análise RGPD integrada

O JuristVault detecta automaticamente exposições ao RGPD.

Cada análise de SPA inclui sinalizações de conformidade com o RGPD, cláusulas ausentes e avaliação de risco de transferência transfronteiriça.

Iniciar teste gratuito